Пятничная попытка сделать сервисы безопаснее и причем тут бот с мемами

Несколько лет назад наткнулся на статью про сервис, где автор рассказывал о выбранных технологиях. В качестве хранилища данных там использовали Firebase Realtime Database. Вещь интересная, но есть особенности.

Почитав документацию и поигравшись на демо-проекте, я столкнулся с интересными настройками "по-умолчанию". Оказывается, что если дополнительно ничего не настраивать, то ВСЕ данные в созданной БД будут доступны публично + кто угодно может эти данные изменять и удалять!

Для интереса я решил проверить базу того сервиса из статьи. И [барабанная дробь] получился итоговый json на 183 Мб! Кроме публичной информации там были личные данные пользователей, полная история заказов, сообщения из всех чатов в открытом виде и т.д.

Ок, а что если попробовать записать в нее данные? Нет, доступ без авторизации закрыт. Ну хоть на этом спасибо.

Но наверняка ведь есть проекты, у которых так и стоят настройки по умолчанию?

Пятница. Нашел на GitHub несколько списков с доменами *.firebaseio.com и написал простой скрипт, который пробовал прочитать и записать данные. Практически все из списка позволяли делать и то и другое.

Конечно, это были тестовые базы, однако раз уж открыт доступ, я решил оставить предупреждение - добавить запись "___INSECURE___" = "You have security problem: https://t.me/FirebaseRTDB_SecurityBot".

Ну а бот - это просто ссылки на документацию, чтобы разработчик перечитал и сделал как надо.

Кстати, боты до сих пор работают, можно даже потыкать и улыбнуться:

За все это время всего 87 разработчиков дошли до бота, один пришел в личку и поблагодарил, а другой хотел узнать подробности в своих корыстных целях, но был вежливо послан.

Зачем я написал этот пост? Сам не знаю, просто наткнулся на директорию, вспомнил и решил поделиться :)

А всем разработчикам хочу пожелать, чтобы думали о безопасности не в последнюю очередь.