【发布时间】:2021-04-04 20:48:18
【问题描述】:
我经常听说我们需要 Firebase 安全规则的主要问题是因为应用程序包含连接到数据库所需的所有配置,因此用户可以执行诸如 db.delete('*')、读/写之类的操作不管他们想要什么,等等等等。
我可以看到这在 Web 应用程序上是如何实现的,因为您可以检查通过网络发送的请求,从而获得连接到数据库所需的端点,但是,在 iOS 应用程序上,这将如何可能吗?
例如,假设我使用 Firebase 创建了一些聊天应用并将其发布到 App Store。当用户下载它时,他/她将如何通过我提供给他们的按钮等 API 访问我的数据库?是否有与谷歌浏览器中的“网络”部分等效的东西显示所有传出请求,并且,他们可以向我的数据库发送恶意请求?这是否需要在他们的设备上安装第 3 方软件以查看所有传出/传入请求,并且他们可以从那里获得所需的端点/数据库连接信息?
谢谢。
【问题讨论】:
-
有多种方法可以检查移动设备上的网络流量。 Google Charles 代理和 iOS 中间人攻击作为两个简单的示例搜索。
标签: ios swift firebase google-cloud-firestore firebase-security