23

我正在构建一个存储用户潜在私人笔记的应用程序。对我来说有点奇怪的是,我可以直接进入 Firebase Forge UI 并查找任何人编写的任何内容,这也意味着任何以某种方式访问​​我的 Firebase 帐户的人都可以进入并选择“导出 JSON”以获取我所有用户的数据。

显然,我对自己的帐户很谨慎,并且是一个严谨的人,但对于管理员而言,通常似乎是一种很好的做法,即无法访问我们所有用户的数据。

我能想到的唯一方法是将所有内容存储在已由用户密码加密的字符串化 JSON 中,但这显然会使处理 Firebase 更加烦人,并且会阻止对低于该点的数据进行精细访问事物被字符串化和加密。

编辑:再想一想,这并不是 Firebase 特有的,而是大多数/所有数据存储的情况,除非您不遗余力地做到这一点。

4

1 回答 1

6

保证信息安全的唯一方法是在服务器上手动滚动您自己的加密。您可以在服务器端托管您的 firebase 连接,并让您的用户通过 SSL 将数据发送到该服务器,然后从那里进行加密,然后使用 firebase 的 SSL 地址进行存储。

在客户端,CSS 攻击是可疑的。如果你真的想走这条路,你可以使用这个库中的 js 加密:http ://code.google.com/p/crypto-js/ 。请注意,crpto-js 单独运行良好,但您还需要确保您的网页没有被篡改(很难做 IMOP,因为您不知道用户机器感染了什么)

于 2014-03-13T16:11:08.470 回答