So sichern Sie Ihre Firebase-Sicherheitsregeln
Die häufigste Ursache für Firebase-Datenlecks sind Regeln, die im Testmodus belassen wurden („allow read, write: if true“), was Ihre gesamte Datenbank öffentlich macht. Sichere Regeln beschränken jeden Lese- und Schreibzugriff auf authentifizierte, autorisierte Nutzer.
Schritt für Schritt
- 1
Kommen Sie aus dem Testmodus heraus
Ersetzen Sie „allow read, write: if true“ durch Regeln, die Authentifizierung verlangen. Eine abgeriegelte Standardeinstellung ist „allow read, write: if false“, danach öffnen Sie Pfade bewusst.
- 2
Verlangen Sie Auth und Eigentümerschaft
Knüpfen Sie den Zugriff an request.auth != null und prüfen Sie den Dokument-Eigentümer, z. B. allow read, write: if request.auth.uid == resource.data.ownerId.
- 3
Validieren Sie Schreibvorgänge
Nutzen Sie Regeln, um die Form zu validieren und zu verhindern, dass Nutzer Felder schreiben, die sie nicht sollten (Rollen, Guthaben). Decken Sie Firestore, Realtime Database und Storage separat ab.
- 4
Testen Sie im Rules-Playground
Nutzen Sie den Firebase-Regelsimulator, um vor dem Veröffentlichen zu bestätigen, dass anonymer Zugriff verweigert wird und Nutzer nur ihre eigenen Daten erreichen.
Wollen Sie es verifiziert, nicht nur behoben?
Die Behebung ist der erste Schritt. Eine ClearedToShip-Prüfung bestätigt, dass die Korrektur tatsächlich hält, und gibt Ihnen eine unterschriebene, versicherte Freigabe zum Launch. Sichern Sie sich Early Access: