Meteor Dev Tools Auditor markiert Sammlungen als unsicher

Question

Ich verwende Meteor Dev Tools Plugin in Chrome, und ich habe bemerkt, eine coole neue Funktion, die mich über die Art, wie ich meine App codiert habe. Das Audit-Sammlungs-Tool sagt mir, dass einige meiner Sammlungen unsicher sind.

Ich verwende noch Meteor 1.2 mit Blaze

1. Einer von ihnen ist meteor_autoupdate_clientVersions

1.1. Sollte ich mir Sorgen machen?

1.2. Wie schütze ich es? Insert, Update und Remove sind als unsicher gekennzeichnet.

2. Dann habe ich eine cycles Sammlung, die als unsicher markiert hat: update und remove Diese Sammlung auf der Datenbank jetzt aktualisiert wird und dann aber nicht angenommen vom Frontend zugegriffen werden und ist nicht zu sein im Zusammenhang mit einer Kundeninteraktion.

Für diese Sammlung habe ich diese erlauben/verweigern Regeln in einem gemeinsamen Ordner (Client und Server) Ich habe versucht, diese Regeln nur auf der Serverseite anzuwenden, aber ich sah keinen Unterschied in den Audit-Ergebnissen .

2.1. Sollten diese Regeln nur auf der Serverseite sein?

Cycles.allow({ 
    insert: function() { 
     return false; 
    }, 
    remove: function() { 
     return false; 
    }, 
    update: function() { 
     return false; 
    } 
}); 
Cycles.deny({ 
    insert: function() { 
     return true; 
    }, 
    remove: function() { 
     return true; 
    }, 
    update: function() { 
     return true; 
    } 
}); 

2.2. Wie schütze ich diese Sammlung?

3. Und dann habe ich auch eine andere Sammlung mit einer unsicheren Prüfung, die users ist, wobei remove als unsicher gekennzeichnet ist. Auf dieser Webapp verwende ich keine Benutzer, es gibt keine Anmeldung, etc. Ich möchte dies in Zukunft vielleicht implementieren.

3.1 Sollte ich mir Sorgen machen, dass diese Sammlung unsicher ist, da ich sie überhaupt nicht verwende?

3.2 Wie schütze ich diese Sammlung?

Answer 1

Sie müssen nicht erlauben oder verweigern. Entferne einfach das unsichere Paket aus der Meteor App. Dann können Sie publish/subscribe und Methoden zum Einfügen, Aktualisieren und Löschen von Daten verwenden.

entfernen Sie dies bitte fo Code von App:

Cycles.allow({ 
    insert: function() { 
     return false; 
    }, 
    remove: function() { 
     return false; 
    }, 
    update: function() { 
     return false; 
    } 
}); 
Cycles.deny({ 
    insert: function() { 
     return true; 
    }, 
    remove: function() { 
     return true; 
    }, 
    update: function() { 
     return true; 
    } 
}); 

Für 1,1

Dies geschieht, während der Benutzer anmeldet. Grundsätzlich ist das Problem nicht mit dem aber mit der Login-Methode. siehe Wartezeit: https://ui.kadira.io/pt/2fbbd026-6302-4a12-add4-355c0480f81d

Warum Login-Methode langsam?

Dies passiert, wenn Ihre App immer wieder verbunden wird.Nach dem erfolgreichen Login werden alle Publikationen erneut ausgeführt. Deshalb haben Sie eine solche Verzögerung gesehen, um sich mit dieser Publikation einzuloggen.

Es gibt keine solche Abhilfe für diese und aber das ist gut in Ordnung, es sei denn, Ihre App hat eine Menge througput/subRate zu dieser Methode/Veröffentlichung.

Für 3.1: Sie müssen nicht mehr um Unsicherheiten sorgen, nachdem Sie das Paket "allow/deny" und "unsecure" entfernt haben. Aber stellen Sie sicher, Sie schreiben sichere Methoden.