FixVibe
Covered by FixVibehigh

Supabase Sécherheetschecklist: RLS, API Schlësselen a Späicheren

Dëse Fuerschungsartikel skizzéiert kritesch Sécherheetskonfiguratiounen fir Supabase Projeten. Et konzentréiert sech op déi richteg Ëmsetzung vun der Row Level Security (RLS) fir Datebankreihen ze schützen, sécher Handhabung vun anon a service_role API Schlësselen, an Duerchféierung vun Zougangskontrolle fir Späichereimer fir d'Risike vun der Datebelaaschtung an onerlaabten Zougang ze reduzéieren.

CWE-284CWE-668

Den Haken

Sécheren vun engem Supabase Projet erfuerdert eng Multi-Layer Approche déi sech op API Schlësselmanagement, Datebanksécherheet a Späicherrechter konzentréiert. [S1] Falsch konfiguréiert Row Level Security (RLS) oder ausgesat sensibel Schlësselen kënnen zu bedeitende Datebelaaschtungsfäll féieren. [S2] [S3]

Wat huet geännert

Dës Fuerschung konsolidéiert Kär Sécherheetskontrollen fir Supabase Ëmfeld baséiert op offiziellen Architektur Richtlinnen. [S1] Et konzentréiert sech op den Iwwergank vu Standardentwécklungskonfiguratiounen op Produktiounsgehärte Posturen, speziell iwwer Zougangskontrollmechanismen. [S2] [S3]

Wien ass betraff

Uwendungen, déi Supabase als Backend-as-a-Service (BaaS) benotzen, si betraff, besonnesch déi, déi Benotzerspezifesch Daten oder privat Verméigen behandelen. [S2] Entwéckler déi den service_role Schlëssel a Client-Säit Bündel enthalen oder RLS net aktivéieren, sinn e grousse Risiko. [S1]

Wéi de Problem funktionnéiert

Supabase benotzt PostgreSQL's Row Level Security fir den Zougang zu Daten ze beschränken. [S2] Par défaut, wann RLS net op engem Dësch aktivéiert ass, kann all Benotzer mat dem anon Schlëssel - deen dacks ëffentlech ass - Zougang zu all records kréien. [S1] Ähnlech erfuerdert Supabase Storage explizit Politik fir ze definéieren wéi eng Benotzer oder Rollen Operatiounen op Dateieeem kënne maachen. [S3]

Wat en Ugräifer kritt

En Ugräifer, deen en ëffentlechen API-Schlëssel besëtzt, kann Dëscher ausnotzen, déi RLS fehlen, fir Daten ze liesen, z'änneren oder ze läschen, déi zu anere Benotzer gehéieren. [S1] [S2] Onerlaabten Zougang zu Späichereimer kann zu der Belaaschtung vu private Benotzerdateien oder der Läschung vu kriteschen Uwendungsaktivitéiten féieren. [S3]

Wéi FixVibe Tester fir et

FixVibe deckt dëst elo als Deel vu senge Supabase Schecken. baas.supabase-security-checklist-backfill iwwerpréift ëffentlech Supabase Stockage Eemer Metadaten, anonyme Objet-Lëscht Belaaschtung, sensiblen Eemer Benennung, an anon-gebonnen Storage Signaler vun der ëffentlecher anon Grenz. Zesummenhang Live Kontrollen iwwerpréift Service-Roll Schlësselbelaaschtung, Supabase REST / RLS Haltung, a Repository SQL Migratiounen fir vermësst RLS.

Wat ze fixéieren

Aktivéiert ëmmer Row Level Security op Datebanktabellen an implementéiert granulär Politik fir authentifizéiert Benotzer. [S2] Vergewëssert Iech datt nëmmen den 'anon' Schlëssel am Client-Säit Code benotzt gëtt, während de 'service_role' Schlëssel um Server bleift. [S1] Konfiguréieren Storage Access Control fir sécherzestellen datt Dateieime par défaut privat sinn an den Zougang nëmmen duerch definéiert Sécherheetspolitike gëtt. [S3]