在嗅探Firebase流量时,我已经看到代码被传递给auth服务器,因此它总是返回200状态代码.这表明在身份验证协议中某些级别存在某种级别的可选安全性.
当用户输入不存在的电子邮件地址时,如果输入错误的密码,是否有办法导致Firebase身份验证失败并显示相同的错误消息?
该INVALID_USER状态代码给了我关于一个潜在的关注用户枚举攻击,在我的应用程序已经成为通过脚本注入受损的情况.
有关如何更安全地锁定Firebase身份验证协议的信息,和/或某些关于智能速率限制(某种程度上是分布式攻击免疫?)的声明可能会对我保证Firebase的内置电子邮件和密码有很长的路要走auth确实是安全的(假设Firebase规则设置正确,证书不会在客户端上受到损害等).