La clave es comprender completamente el concepto de publicación y suscripción.
Puedes limitar la superficie de ataque en Meteor. Siempre que transfiera solo el subconjunto de la base de datos que solo contiene datos que se supone que están disponibles para ese usuario en particular, debe estar bien.
Mi aplicación Meteor tiene acceso a los datos de CRM y, por lo tanto, dediqué bastante tiempo a hacerlo correctamente.
Si confía en la seguridad por la oscuridad, como ciertas plantillas que no estarán disponibles para el cliente, es posible que desee ajustar eso. Meteor expone la API de minimongo que se puede usar desde la consola del navegador. Como atacante, trabajaría directamente con los datos.
- ¿Por qué es HTTP basic-auth más popular que pasar nombre de usuario / contraseña en forma de publicación?
- ¿Es cierto que todos los hacks exitosos de sistemas informáticos bien protegidos dependen de la manipulación de una persona para entrar?
- Cómo recuperar (descifrar) los archivos .txt o .pdf o .docx que están infectados y encriptados por ransomware
- ¿Sería una buena idea tener una clave ssh privada en mi teléfono inteligente para conectarme a mi servidor?
- ¿Qué opinas de la ciberseguridad en términos de internet?
Toda la seguridad debe hacerse cumplir en el servidor. Debe asumir que cualquier cosa que el cliente le envíe es un ataque. Meteor se envía por defecto con paquetes “inseguros” y “autopublish”. Una vez que los apaga, lo cual es un requisito para la implementación de producción, activa el modelo de aplicación del lado del servidor. Debido a cómo Meteor funciona al anticipar la respuesta del servidor para una mejor experiencia del usuario, la acción fraudulenta parece tener éxito, luego la consola se actualiza con el mensaje de acceso denegado del servidor y la pantalla del lado del cliente se revierte.
Aquí hay más información sobre cómo funciona esto: Descubre Meteor.
Para la prevención de XSS, esto podría ser útil Cross Site Scripting (XSS) y Meteor y esto también Meteor.js y CSRF / XSS Attacks.
Le preguntaría al equipo de desarrollo central de Meteor (y probablemente específicamente a Emily Stark) cuánto costaría hacer una auditoría para su aplicación para que pueda evitar probar y certificar todo su marco. Estoy seguro de que ya está en su hoja de ruta.
