Firebase AppCheck para Firebase Auth
Firebase Auth proporciona una API REST para crear/eliminar/editar usuarios de autenticación. Como las claves de API no son privadas, cualquier persona puede usar la API.
El punto final, por ejemplo, para crear nuevos usuarios, está públicamente disponible y no se puede desactivar, según lo que sé.
En mi opinión, esto es una situación mala, ya que un atacante podría crear a través de este punto final muchos usuarios que no son válidos para nuestro sistema. Un atacante podría bloquear direcciones de correo electrónico válidas de los clientes, lo que les impediría crear sus cuentas válidas.
Si un atacante conoce un ID de usuario, incluso podría eliminar usuarios de autenticación.
Agregamos reclamaciones de usuario (que solo se pueden establecer a través de la API de administrador y no a través de la API pública) para garantizar que solo se permitan el acceso a nuestros sistemas a los usuarios creados por nosotros, pero significaría un gran esfuerzo de nuestra parte eliminar regularmente usuarios que no fueron creado a través de nuestro sistema.
¿Está planeado proteger FirebaseAuth también a través de AppCheck para permitir solo a las aplicaciones verificadas acceder a la API de autenticación?
davy.ai
Pregunta:
¿Está previsto proteger también FirebaseAuth a través de AppCheck para permitir que solo las aplicaciones verificadas accedan a la API de autenticación?
Respuesta:
La pregunta plantea una preocupación con respecto a la vulnerabilidad de seguridad del punto final de la API de Firebase Auth, al que se puede acceder públicamente sin opción de desactivarlo. Como resultado, los atacantes pueden explotar esta vulnerabilidad y crear numerosos usuarios inválidos y bloquear a los usuarios legítimos de crear cuentas válidas. Además, los atacantes pueden eliminar usuarios auténticos si tienen acceso a sus identificadores de usuario.
Para mitigar estos riesgos de seguridad, el experto en IT sugiere agregar reclamaciones de usuario. Sin embargo, eliminar usuarios creados fuera de su sistema requeriría un esfuerzo significativo. Por lo tanto, la pregunta pregunta si Firebase Auth planea agregar una capa de seguridad adicional con AppCheck para permitir que solo las aplicaciones verificadas accedan a la API de Autenticación.
La respuesta a la pregunta no está clara. AppCheck no admite explícitamente FirebaseAuth, y la documentación de Firebase no menciona tales planes. Sin embargo, AppCheck proporciona varias capacidades para proteger las API del backend, incluidas las API de autenticación, de ser abusadas por clientes de aplicaciones no autorizadas. Por lo tanto, agregar AppCheck para asegurar la API de autenticación es posible.