Firebase电子邮件和密码身份验证是否具有任何安全配置选项?

时间:2015-09-29 09:13:11

标签: security authentication firebase firebase-security

在嗅探Firebase流量时,我已经看到代码被传递给auth服务器,因此它总是返回200状态代码。这表明在身份验证协议的某个级别存在某种级别的可选安全性。

当用户输入不存在的电子邮件地址时,如果输入错误的密码,是否有办法导致Firebase身份验证失败并显示相同的错误消息?

The INVALID_USER status code让我对user enumeration attack的可能性感到担忧,因为我的应用程序已通过脚本注入而受到损害。

有关如何更安全地锁定Firebase身份验证协议的信息,和/或某种关于智能速率限制(某种程度上分布式攻击免疫?)的声明可能会对我保证Firebase的内置功能有很大帮助电子邮件和密码验证确实是安全的(假设Firebase规则设置正确,证书不会在客户端上受到损害等)。

1 个答案:

答案 0 :(得分:6)

(Firebase员工)目前,答案是否定的:您无法控制向客户端报告的状态代码。

好消息是枚举攻击相当困难,因为我们通过原点限制请求以减轻任何蛮力方法。