Данные Wipe Firebase, которые не принадлежат владельцу

Question

Я не уверен, что это ошибка безопасности или что-то не так в настройках правил firefeed.firebaseio.com.

До этого мне любопытно, почему мы не получаем api-key при регистрации firebase. поэтому мой первый вопрос выходить. (Все могут просто стереть или отредактировать ваши данные, если кто-то знает ваш адрес firebase)

Затем я хочу знать, как работают правила, и я попробовал что-то на firefeed.firebaseio.com. Так как мы можем написать что-то в users/user_id/feed, и я использую этот код для записи в фид.

var url = new Firebase('https://firefeed.firebaseIO.com'); 
    var authClient = new FirebaseAuthClient(url, function(error, user) { 
     if (error) { 

      console.log(error); 

     } else if (user) { 

      console.log(user); 
      // user authenticated with Firebase 
      var usersRef = url.child('/users/MYUSERID/feed'); 
      usersRef 
       .set({ 
         email: user.email, 
         username: user.username 
        }); 
     } else { 
      // user is logged out 
     } 
    }); 

После этого все мои каналы и следующие каналы исчезли, и только левый адрес электронной почты, имя пользователя после того, как я запускаю мой код. Я прикрепил изображение после и перед фотографией.

Я знаю, что я просто протираю свою учетную запись, а не другие, поскольку правила установили пользователя-spoof, но это опасно? как мы можем это предотвратить?

Answer 1

Правила безопасности в настоящее время позволяют удалить свой собственный канал, согласно этой линии: https://github.com/firebase/firefeed/blob/master/rules.json#L14

// The user is allowed to write everything in their bucket. 
".write": "$userid == auth.id" 

Вы можете изменить это поведение, удалив эту строку из правил безопасности для Firefeed (Разумеется, при вашем собственном развертывании мы не намерены изменять это поведение для публичной версии на firefeed.io).