我正在构建一个存储用户潜在私密笔记的应用。我有点奇怪,我可以进入Firebase Forge UI并查找任何人编写的内容,这也意味着任何以某种方式访问我的Firebase帐户的人都可以进入并选择“导出JSON”到获取我所有用户的数据。
显然,我对自己的帐户非常谨慎,并且是一个严谨的人,但管理员通常认为不可以访问我们所有用户的数据。
我能想到实现这一目标的唯一方法是将所有内容存储在已通过用户密码加密的字符串化JSON中,但这显然使得处理Firebase更加烦人,并且会阻止细粒度访问下面的数据事物被字符串化和加密的点。
编辑:这是第二个想法,并非特定于Firebase,但大多数/所有数据存储都是这种情况,除非您不想这样做。
答案 0 :(得分:5)
保证信息安全的唯一方法是在服务器上手动加载自己的加密。您可以托管您的firebase连接服务器端,让您的用户通过SSL将数据发送到那里,然后从那里进行加密,然后使用firebase的SSL地址进行存储。
在客户端,人们怀疑CSS攻击。如果你真的想沿着这条路走下去,你可以使用这个lib中的js加密:http://code.google.com/p/crypto-js/。请注意,crpto-js可以很好地隔离,但你还需要确保你的网页没有被篡改(很难做IMOP,因为你不知道什么是感染了用户的机器)