FixVibe
Covered by FixVibehigh

Seicliosta Slándála Supabase: Eochracha RLS, API, agus Stóráil

Imlíníonn an t-alt taighde seo cumraíochtaí slándála ríthábhachtacha do thionscadail Supabase. Díríonn sé ar chur chun feidhme cuí Slándáil Leibhéal Rae (RLS) chun sraitheanna bunachar sonraí a chosaint, láimhseáil slán eochracha anon agus service_role API, agus rialú rochtana a fhorfheidhmiú le haghaidh buicéid stórála chun rioscaí a bhaineann le nochtadh sonraí agus rochtain neamhúdaraithe a mhaolú.

CWE-284CWE-668

An duán

Teastaíonn cur chuige ilchisealach chun tionscadal Supabase a dhaingniú a dhíríonn ar bhainistíocht eochair API, slándáil bunachar sonraí, agus ceadanna stórála. [S1] D’fhéadfadh teagmhais shuntasacha nochta sonraí a bheith mar thoradh ar Shlándáil Leibhéal Rae atá cumraithe go míchuí (RLS) nó eochracha íogair nochta. [S2] [S3]

Cad a d'athraigh

Comhdhlúthaítear leis an taighde seo príomhrialuithe slándála do thimpeallachtaí Supabase bunaithe ar threoirlínte oifigiúla ailtireachta. [S1] Díríonn sé ar an aistriú ó chumraíochtaí forbartha réamhshocraithe go postures cruaite táirgeachta, go sonrach maidir le meicníochtaí rialaithe rochtana. [S2] [S3]

Cé atá i gceist

Déantar difear d’fheidhmchláir a úsáideann Supabase mar Inneall mar Sheirbhís (BaaS), go háirithe iad siúd a láimhseálann sonraí úsáideora-shonracha nó sócmhainní príobháideacha. [S2] Tá riosca ard ag baint le forbróirí a chuimsíonn an eochair service_role i bundles taobh an chliaint nó a dteipeann orthu RLS a chumasú. [S1]

Conas a oibríonn an cheist

Supabase giaráil Slándáil Leibhéal Rae PostgreSQL chun rochtain sonraí a shrianadh. [S2] De réir réamhshocraithe, mura bhfuil RLS cumasaithe ar thábla, is féidir le húsáideoir ar bith a bhfuil an eochair anon aige — atá poiblí go minic — rochtain a fháil ar na taifid go léir. [S1] Mar an gcéanna, éilíonn Supabase Storage beartais shainráite chun a shainiú cé na húsáideoirí nó na róil ar féidir leo oibríochtaí a dhéanamh ar bhuicéid comhaid. [S3]

Cad a fhaigheann ionsaitheoir

Is féidir le hionsaí a bhfuil eochair phoiblí API aige leas a bhaint as táblaí atá in easnamh RLS chun sonraí a bhaineann le húsáideoirí eile a léamh, a mhodhnú nó a scriosadh. [S1] [S2] D’fhéadfadh nochtadh comhaid úsáideoirí príobháideacha nó sócmhainní feidhmchláir ríthábhachtacha a bheith mar thoradh ar rochtain neamhúdaraithe ar bhuicéid stórála. [S3]

Conas a thástálann FixVibe é

Clúdaíonn FixVibe é seo anois mar chuid dá seiceálacha Supabase. baas.supabase-security-checklist-backfill léirmheas poiblí Supabase meiteashonraí buicéad stórála, nochtadh gan ainm i liostú réad, ainmniú íogair buicéad, agus comharthaí Stórála gan cheangal ón bpobal gan teorainn. Déanann seiceálacha beo gaolmhara iniúchadh ar nochtadh eochrach ról-seirbhíse, staidiúir Supabase REST/RLS, agus ascnaimh SQL stór le haghaidh RLS in easnamh.

Cad atá le socrú

Cumasaigh Slándáil Leibhéil Rae i gcónaí ar tháblaí bunachair shonraí agus cuir beartais ghráinneacha i bhfeidhm d’úsáideoirí fíordheimhnithe. [S2] Cinntigh nach n-úsáidtear ach an eochair 'anon' i gcód taobh an chliaint, agus an eochair 'service_role' fós ar an bhfreastalaí. [S1] Cumraigh Rialú Rochtana Stórála chun a chinntiú go bhfuil buicéid comhad príobháideach de réir réamhshocraithe agus ní dheonaítear rochtain ach trí bheartais slándála sainithe. [S3]