在嗅探Firebase流量时,我已经看到代码被传递给auth服务器,因此它总是返回200状态代码。这表明在身份验证协议的某个级别存在某种级别的可选安全性。
当用户输入不存在的电子邮件地址时,如果输入错误的密码,是否有办法导致Firebase身份验证失败并显示相同的错误消息?
The INVALID_USER
status code让我对user enumeration attack的可能性感到担忧,因为我的应用程序已通过脚本注入而受到损害。
有关如何更安全地锁定Firebase身份验证协议的信息,和/或某种关于智能速率限制(某种程度上分布式攻击免疫?)的声明可能会对我保证Firebase的内置功能有很大帮助电子邮件和密码验证确实是安全的(假设Firebase规则设置正确,证书不会在客户端上受到损害等)。
答案 0 :(得分:6)
(Firebase员工)目前,答案是否定的:您无法控制向客户端报告的状态代码。
好消息是枚举攻击相当困难,因为我们通过原点限制请求以减轻任何蛮力方法。