Di quali meccanismi di sicurezza dispone Meteor? [chiuso]

Sappiamo tutti che Meteor offre il driver miniMongo che consente al client di accedere senza problemi al livello persistente (MongoDB).

Se un cliente può accedere all'API persistente, come si protegge la sua applicazione?

Quali sono i meccanismi di sicurezza forniti da Meteor e in quale contesto dovrebbero essere utilizzati?

Quando crei un'app utilizzando il comando meteor, per impostazione predefinita l'app include i seguenti pacchetti:

• AUTOPUBBLICA
• INSICURO

Insieme, questi imitano l'effetto di ogni client che ha pieno accesso in lettura / scrittura al database del server. Questi sono utili strumenti di prototipazione (solo per scopi di sviluppo), ma in genere non appropriati per applicazioni di produzione. Quando sei pronto per il rilascio di produzione, rimuovi semplicemente questi pacchetti.

Per aggiungerne altri, Meteor supporta i pacchetti Facebook / Twitter / e molto altro per gestire l'autenticazione, e il più interessante è il pacchetto Accounts-UI

Nelle collezioni il doc dice:

Attualmente al client viene concesso l'accesso completo in scrittura alla raccolta. Possono eseguire comandi di aggiornamento Mongo arbitrari. Una volta creata l'autenticazione, sarai in grado di limitare l'accesso diretto del client per inserire, aggiornare e rimuovere. Stiamo anche considerando validatori e altre funzionalità simili a ORM.

Se stai parlando di limitare il client a non utilizzare nessuna delle tue API di inserimento / aggiornamento / eliminazione non autorizzate, è possibile.

Guarda la loro app todo su https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos

Inoltre, ora hanno aggiunto un modulo AUTH integrato, che ti consente di accedere e registrarti. Quindi è sicuro. Per quanto riguarda XSS, valutazioni, intestazioni dei clienti ecc.

ma puoi convertire in qualsiasi giorno l'app meteor in un'applicazione nodejs completamente funzionante distribuendola su node. Quindi, se sai come proteggere un'applicazione nodejs, dovresti essere in grado di proteggere meteor.

A partire dalla 0.6.4, durante la modalità di sviluppo, i blocchi is_client e is_server vanno ancora entrambi al sistema client. Non posso dire se questi sono separati quando disattivi la modalità di sviluppo.

Tuttavia, se non lo sono, un hacker potrebbe essere in grado di ottenere informazioni dal sistema rivedendo i blocchi del codice if (Meteor.is_server). Ciò mi preoccupa particolarmente, soprattutto perché ho notato che ancora a questo punto non riesco a separare le raccolte in file separati su client e server.

Aggiornare

Bene, il punto è non mettere il codice relativo alla sicurezza in un blocco is_server in una directory non server (cioè - assicurati che sia in qualcosa sotto il / server.

Volevo vedere se ero solo pazzo per non essere in grado di separare le collezioni client e server nelle directory del client e del server. In effetti non ci sono problemi con questo.

Ecco la mia prova. È un semplice esempio del modello di pubblicazione / sottoscrizione che sembra funzionare bene. http://goo.gl/E1c56