Firebase Firestore, пользователь, прошедший аутентификацию, может свободно записывать данные после изменения кода на стороне клиента

Question

Firebase Firestore, свободно проверяющий пользователь, записывает данные после несанкционированного изменения кода, возможно ли это?

Например, после установки правила безопасности firebase, разрешающего только пользовательский документ записи, созданный самим, может ли хакер подделать код на стороне клиента иПроголосовать собственным постом голосованияСчет от 1 до 1000?

Я понимаю, что мы можем установить правило безопасности, позволяющее увеличивать только 1 голос на одну запись документа.Я хочу сосредоточиться на том, чтобы узнать, может ли хакер изменить код на стороне клиента и снова использовать приложение, как обычно.Высоко уверенный ответ очень ценится.Спасибо.Я счастливый пользователь firebase

Answer 1

Firebase имеет множество функций безопасности и проверки данных в своей системе правил.Вся безопасность и проверка данных должны быть выполнены или проверены в соответствии с правилами пожарной базы.Вы никогда не можете поверить, что клиентское приложение / веб-интерфейс работает.

Возможно, голоса хранятся в виде набора user-id: голосование, и пользователю разрешено только создавать слот со своим собственным идентификатором,и голосование может быть 1, -1, например.

Answer 2

В целях безопасности вы должны предполагать, что код клиента был взломан.В конце концов, он работает на машине или устройстве, которое вы не можете контролировать.Для кого-то довольно легко изменить способ работы JavaScript в среде браузера.