Cómo asegurar tus reglas de seguridad de Firebase
La causa número uno de las filtraciones de datos en Firebase son las reglas dejadas en modo de prueba ('allow read, write: if true'), que hacen pública toda tu base de datos. Las reglas seguras restringen cada lectura y escritura a usuarios autenticados y autorizados.
Paso a paso
- 1
Sal del modo de prueba
Reemplaza 'allow read, write: if true' por reglas que exijan autenticación. Un valor por defecto bloqueado es 'allow read, write: if false', y luego abres rutas de forma deliberada.
- 2
Exige autenticación y propiedad
Condiciona el acceso a request.auth != null y comprueba que coincida con el propietario del documento, por ejemplo allow read, write: if request.auth.uid == resource.data.ownerId.
- 3
Valida las escrituras
Usa reglas para validar la forma e impedir que los usuarios escriban campos que no deberían (roles, saldos). Cubre Firestore, Realtime Database y Storage por separado.
- 4
Prueba en el simulador de reglas
Usa el simulador de reglas de Firebase para confirmar que el acceso anónimo se deniega y que los usuarios solo pueden alcanzar sus propios datos antes de publicar.
¿Quieres que lo verifiquen, no solo que lo corrijan?
Corregirlo es el primer paso. Una revisión de ClearedToShip confirma que la corrección realmente se sostiene y te entrega una autorización firmada y asegurada para lanzar. Únete al acceso anticipado: