Nous savons tous que Meteor offre le pilote miniMongo qui en toute transparence permet au client d’accéder à la couche de persistance (MongoDB).
Si n’importe quel client peut accéder à l’API persistant Comment sécuriser son application ?
Quels sont les mécanismes de sécurité qui fournit des Meteor et dans quel contexte devrait être utilisés ?
Lorsque vous créez une application à l'aide de météore de commande, par défaut, l'application inclut les paquets suivants:
Ensemble, ces imiter l'effet de chaque client ayant tous les accès en lecture/écriture pour le serveur de base de données. Ils sont utiles des outils de prototypage (à des fins de développement uniquement), mais généralement pas appropriées pour des applications de production. Lorsque vous êtes prêt pour le lancement de la production, il suffit de retirer ces paquets.
Pour ajouter plus de Meteor prend en charge Facebook / Twitter / et Beaucoup Plus forfaits pour gérer l'authentification, et le plus cool est les Comptes-UI paquet
Dans la doc de collections a écrit :
Actuellement, le client est donné un accès en écriture complet à la collection. Ils peuvent exécuter des commandes arbitraires de mise à jour des Mongo. Une fois que nous construisons l’authentification, vous serez en mesure de limiter l’accès direct du client pour insérer, mettre à jour et supprimer. Nous envisageons également de validateurs et autres fonctionnalités de type ORM.
Si vous parlez de restreindre le client de ne pas utiliser de votre non autorisée insert/update/delete API, c'est possible.
Voir leur, todo application à https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos
Aussi, ils ont maintenant ajouté construit dans le module d'AUTHENTIFICATION, qui vous permet de vous connecter et vous inscrire. De sorte que son coffre-fort. Aussi loin que vous êtes en prenant soin de XSS , Valiations, client-têtes, etc.
mais vous pouvez convertir n'importe quel jour application de météore dans pleinement de travail nodejs application par le déploiement de nœud. Donc si vous savez comment sécuriser une application nodejs, vous devriez être en mesure d'assurer un météore.
Que de la version 0.6.4, pendant le mode de développement, is_client et is_server bloque toujours à la fois d'aller sur le système client. Je ne peux pas dire si ce sont distincts lorsque vous désactivez le mode de développement.
Toutefois, si elles ne sont pas, un hacker pourrait être en mesure d'avoir un aperçu du système d'examen par les blocs de si(Meteor.is_server ) du code. Qui me préoccupe particulièrement, surtout parce que j'ai constaté que j'ai encore à ce point ne peut pas séparer les Collections dans des fichiers séparés sur le client et le serveur.
Eh bien, le point est de ne pas mettre de sécurité liées code dans un is_server bloc de la non-répertoire du serveur (c'est à dire - assurez-vous que c'est quelque chose sous l' /serveur .
Je voulais voir si j'étais juste un dingue de ne pas être capable de séparer le client et le serveur Collections dans le client et le serveur de répertoires. En fait, il n'y a pas de problème avec cela.
Voici mon test. C'est un exemple simple de le publier/souscrire modèle qui semble bien fonctionner. http://goo.gl/E1c56
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
