FixVibe

// docs / baas security / firebase rules scanner

Scanóir rialacha Firebase: aimsigh rialacha oscailte Firestore, Realtime Database, agus Storage

Theipeann ar aipeanna Firebase i slándáil ar bhealach amháin comhsheasmhach: rialacha <code>allow read, write: if true;</code> a fágadh ó luas-tús an mhód tástála, nár cuireadh in ionad riamh roimh tháirgeadh. Gineann uirlisí códaithe AI na rialacha sin focal ar fhocal ó shamplaí doiciméadúcháin agus is annamh a chuireann siad i gcuimhne don fhorbróir iad a chruachan. Léiríonn an t-alt seo conas a bhraitheann scanóir rialacha Firebase rialacha oscailte thar Firestore, Realtime Database, agus Cloud Storage ón taobh amuigh den tionscadal — agus conas an méid a aimsíonn sé a shocrú.

Conas a aimsíonn an scanóir rialacha Firebase oscailte

Nochtann seirbhísí Firebase cruthanna URL aitheanta intuartha. Is féidir le scanóir gan dintiúir gach ceann acu a phromhadh agus a thabhairt faoi deara an n-éiríonn le léamha gan ainm. Ritheann an seic baas.firebase-rules de chuid FixVibe i dtrí phromhadh neamhspleácha — ceann in aghaidh seirbhíse Firebase:

  • <strong>Firestore.</strong> The scanner extracts the project ID from the deployed app's bundle (it's in <code>firebase.initializeApp({ projectId: ... })</code>), then issues <code>GET https://firestore.googleapis.com/v1/projects/[project-id]/databases/(default)/documents/[collection]:listDocuments</code> against common collection names. A <code>200 OK</code> with documents in the response means <code>allow read</code> is permissive.
  • Realtime Database. Déanann an scanóir promhadh ar https://[project-id]-default-rtdb.firebaseio.com/.json. Má tá an fhréamh inléite go gan ainm, is é an freagra crann iomlán an bhunachair shonraí mar JSON. Iarrann tástáil níos coimeádaí .json?shallow=true, a fhilleann eochracha ardleibhéil amháin — is toradh é cibé bealach.
  • Cloud Storage. Déanann an scanóir ceist ar https://firebasestorage.googleapis.com/v0/b/[project-id].appspot.com/o. Má liostálann an freagra ainmneacha comhad gan fhíordheimhniú, tá an buicéad inliostáilte gan ainm. Is toradh é stóras inliostáilte fiú nuair a dhiúltaítear íoslódálacha comhad aonair — áirimh ionsaitheoirí an buicéad chun ainmneacha comhad in-thomhaiste a fháil.

Cén chuma atá ar an gcosfhostaíocht mód-tástála i ndáiríre

Áirítear i ndoiciméadúchán luas-tús Firebase ceann de na bloic rialach is mó a chóipeáiltear ar an idirlíon:

firebase
rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

Chuireadh Firebase éag uathoibríoch 30-lá leis na rialacha sin. D'athraigh sé sin: inniu maireann na rialacha go deo mura gcuireann an forbróir in ionad iad. Astálann uirlisí códaithe AI — atá oilte ar bhlianta de dhoiciméadúchán a chuimsíonn an bloc mód-tástála — go minic é focal ar fhocal agus insíonn siad don fhorbróir "is é seo do riail slándála." Ní hí.

Athraitheanna eile a thaispeánann sa táirgeadh ach atá ceadaitheach mar an gcéanna:

firebase
// future-date variant — equivalent to "if true"
allow read, write: if request.time < timestamp.date(2099, 1, 1);

// authenticated-user variant — any signed-in user reads and writes anything
allow read: if true;
allow write: if request.auth != null;

// any-auth variant — any signed-in user owns every document
allow read, write: if request.auth != null;
  • Athraitheach stampa-ama todhchaí: riail a cheadaíonn gach rud go dtí dáta i bhfad amach anseo. Ní éagann sé go héifeachtach riamh (féach an bloc aibhsithe thuas).
  • allow read: if true; allow write: if request.auth != null; — léamha poiblí, is féidir le haon úsáideoir fíordheimhnithe scríobh.
  • allow read, write: if request.auth != null; — is féidir le haon úsáideoir sínithe isteach aon doiciméad a léamh nó a scríobh, lena n-áirítear sonraí úsáideoirí eile.

Cad ba chóir a dhéanamh nuair a aimsíonn an scanóir riail oscailte

Is éigeandáil ama rite rialacha Firebase oscailte. Tá an cruth céanna ag an réiteach thar na trí sheirbhís: scóp gach riail le request.auth.uid in aghaidh réimse úinéireachta sainráite. Tá comhréir riala dá chuid féin ag gach seirbhís:

Firestore

match /users/{userId} { allow read, write: if request.auth != null && request.auth.uid == userId; }. Éiríonn an ceangal de mhír cosáin {userId} ina aon doiciméad amháin is féidir leis an úsáideoir bualadh leis.

firebase
match /users/{userId} {
  allow read, write: if request.auth != null
                     && request.auth.uid == userId;
}

Realtime Database

<code>{ "rules": { "users": { "$uid": { ".read": "$uid === auth.uid", ".write": "$uid === auth.uid" } } } }</code>. The <code>$uid</code> wildcard captures the path segment for comparison.

json
{
  "rules": {
    "users": {
      "$uid": {
        ".read":  "$uid === auth.uid",
        ".write": "$uid === auth.uid"
      }
    }
  }
}

Cloud Storage

service firebase.storage { match /b/{bucket}/o { match /users/{userId}/{allPaths=**} { allow read, write: if request.auth.uid == userId; } } }. Coinbhinsiún: stóráil comhaid faoi users/[uid]/[filename] agus lig don chosán úinéireacht a fhorghníomhú.

firebase
service firebase.storage {
  match /b/{bucket}/o {
    match /users/{userId}/{allPaths=**} {
      allow read, write: if request.auth.uid == userId;
    }
  }
}

Imscar rialacha tríd an Firebase CLI: firebase deploy --only firestore:rules, firebase deploy --only database, firebase deploy --only storage. Fíoraigh go bhfuil na rialacha nua i dtáirgeadh trí scanadh FixVibe a athrith — ba chóir don toradh baas.firebase-rules glanadh.

bash
firebase deploy --only firestore:rules
firebase deploy --only database
firebase deploy --only storage

Conas a chuireann sé seo i gcomparáid le huirlisí ionsuite Firebase

Taispeánann Consól Firebase na rialacha reatha duit ach ní dhéanann sé iniúchadh orthu in aghaidh iompair ama rite. Ligeann ionsamhlóir Rialacha Firebase duit loighic rialach a thástáil in aghaidh iarratas sintéiseach — úsáideach ach áitiúil. Ní insíonn ceachtar uirlis duit cad a fhilleann do rialacha táirgthe i ndáiríre ar ionsaitheoir gan ainm ar an idirlíon poiblí. Is é scanóir seachtrach mar FixVibe (nó Burp Suite le cumraíocht láimhe) an t-aon rud a dhéanann promhadh ón uillinn chéanna a dhéanfadh ionsaitheoir. Maolaíonn App Check Google féin mí-úsáid ach ní chuireann sé in ionad rialacha le scóp ceart.

Ceisteanna coitianta

An léann nó an n-athraíonn an scanóir mo shonraí Firestore?

Eisíonn scanaí éighníomhacha ar a mhéid léamh gan ainm amháin in aghaidh na seirbhíse chun a dhearbhú an gceadaíonn rialacha é. Taifeadann an scanóir cruth an fhreagra agus láithreacht sonraí — ní leathnaíonn sé, ní áiríonn sé doiciméid, agus ní scríobhann sé. Tá promhaidh scríofa faoi gheata taobh thiar d'fhíorú úinéireachta fearainn agus ní ritheann siad riamh in aghaidh spriocanna gan fhíorú.

Cad a tharlóidh má úsáideann mo thionscadal Firebase App Check?

Diúltaíonn App Check d'iarratais gan fhíordheimhniú le 403. Feicfidh scanóir gan comhartha App Check 403 ar gach promhadh — atá ina thoradh ceart. Níl App Check ina ionad ar chruinneas rialach (sceiteann comhartha App Check goidte móide riail oscailte sonraí fós), ach blocálann sé scanaí seachtracha deisghníomhacha.

An féidir leis an scanóir míchumraíochtaí páirteacha rialach a bhrath (léite oscailte, scríofa dúnta)?

Is féidir — déantar promhadh ar gach riail (allow read, allow write) ar leithligh. Tuairiscíonn promhadh léite-amháin a éiríonn le 200 OK toradh léite-oscailte fiú má dhiúltaítear scríofa. Is rudaí ar leith iad an dá thoradh: tá easaoradh sonraí agus láimhseáil sonraí ina rioscaí ar leithligh.

An n-oibríonn sé seo le haghaidh aipeanna Firebase atá imscartha faoi fhearann saincheaptha?

Oibríonn. Baineann an scanóir aitheantas an tionscadail Firebase as an mburla imscartha, ní ón bhfearann. Oibríonn fearainn shaincheaptha, fo-fhearainn app.web.app, agus aipeanna Firebase féin-óstáilte ar an mbealach céanna chomh fada agus is féidir an burla JavaScript a shroicheadh.

Na chéad chéimeanna eile

Rith scanadh FixVibe saor in aisce in aghaidh do URL táirgthe — seoltar an seic baas.firebase-rules ar gach plean agus cuireann sé bratach ar rialacha oscailte thar Firestore, Realtime Database, agus Cloud Storage. Le haghaidh míniúchán níos doimhne ar an bpatrún allow read, write: if true go sonrach, féach Riail Firebase allow read, write: if true mínithe. Le haghaidh an radhairc scáth ar fud Supabase, Firebase, Clerk, agus Auth0, léigh Scanóir míchumraíochta BaaS.

// scan do dhromchla baas

Aimsigh an tábla oscailte sula bhfaighidh duine eile é.

Cuir URL táirgthe isteach. Áiríonn FixVibe na soláthraithe BaaS a labhraíonn d'aip leo, déanann sé méarloirg ar a gcrícphointí poiblí, agus tuairiscíonn sé cad is féidir le cliant gan fhíordheimhniú a léamh nó a scríobh. Saor in aisce, gan suiteáil, gan chárta.

  • Sraith saor in aisce — 3 scanadh sa mhí, gan chárta clárúcháin.
  • Méarlorg BaaS éighníomhach — gan gá le fíorú fearainn.
  • Supabase, Firebase, Clerk, Auth0, Appwrite, agus tuilleadh.
  • Leideanna deisithe AI ar gach toradh — greamaigh ar ais isteach i Cursor / Claude Code.
Rith scanadh BaaS saor in aisce

níl clárú ag teastáil

Scanóir rialacha Firebase: aimsigh rialacha oscailte Firestore, Realtime Database, agus Storage — Docs · FixVibe