Se ho usato l'UID Firebase come tag di codice QR, è un modo saggio?È sicuro utilizzare l'UID di Firebase come tag del codice QR?
Quali sono le conseguenze se l'UID è noto al pubblico?
Ciò consentirà a un hacker di modificare i dati sulla privacy dell'utente?
Un UID di Firebase non è un meccanismo di sicurezza da solo. Conoscere l'UID di un utente non è una perdita di sicurezza.
Conoscere l'UID di un utente non significa che è possibile impersonare l'utente. Potrei sapere che sei Jason Hoch e il tuo id utente StackOverflow è 52961000. Ma non riesco ancora a utilizzare tali informazioni per autenticarti come a StackOverflow.com.
dire che hai le informazioni del profilo dell'utente nel database Firebase:
users
uid_52961000
name: 'Jason Hoch'
E voi avere queste regole di sicurezza corrispondenti:
"users": {
".read": true,
"$uid": {
".write": "auth.uid === $uid"
}
}
Con queste impostazioni, posso solo scrivere /users/uid_52961000 se io Sono autenticato come utente uid_52961000. Poiché l'autenticazione richiede che conosca il tuo nome utente/password o qualche altro (Facebook o altro provider social) segreto, senza quelli che non posso fingere di essere te.
Grazie mille –