我默认注意到它似乎几乎反映了从服务器到客户端的所有信息,但删除insecure包似乎完全可以解决这个问题。
Meteor的哪些方面被认为是不安全的?事实上,它是不安全的吗?
答案 0 :(得分:1)
对于初学者,还有一个包autopublish,它可以发布数据库中可供所有客户使用的所有内容。你也应该删除它。
当你考虑这两个软件包时,你可能会开始理解为什么人们认为 Meteor是不安全的。
然而,还有一些其他问题。
一件大事是file structure。您必须了解它以防止泄露所有源代码。只需将不在/server或/private中的所有代码完全公开并加载到index.html中。即使它不包含任何密钥或密码,分发所有源代码仍然存在风险。
这不是基于任何来源,但你可以说Meteor不鼓励你信任它。根据上面的事实以及它本身所做的所有事情,你可能会觉得它可能会做一些让它变得脆弱的事情。但是,据我所知,Meteor没有重大的安全问题。
答案 1 :(得分:1)
其中大部分是从2012年开始的剩余时间,当时Meteor首次公开发布,无需任何身份验证或授权。 2012年10月17日,第一个引入账户系统和整个限制系统的版本为0.5.0。