AI से बने ऐप्स के लिए फ़िक्स गाइड
वे सिक्योरिटी छेद जो वाइब-कोडेड लॉन्च को डुबो देते हैं — और हर एक को ठीक से बंद करने का तरीक़ा। सीधी-सादी भाषा में क़दम, असली जोखिम के अनुसार प्राथमिकता दिए गए।
- critical→
Lovable ऐप में रो-लेवल सिक्योरिटी (RLS) कैसे जोड़ें
Lovable एक Supabase डेटाबेस का प्रावधान करता है पर अक्सर टेबल को सार्वजनिक anon की के लिए पढ़ने योग्य छोड़ देता है। जब तक आप रो-लेवल सिक्योरिटी नीतियाँ सक्षम और लिखते नहीं, तब तक कोई भी आपके यूज़र्स का डेटा पढ़ सकता है।
- critical→
Supabase पर रो-लेवल सिक्योरिटी (RLS) कैसे सक्षम करें
RLS के बिना कोई Supabase टेबल आपकी anon की रखने वाले किसी के लिए भी पूरी तरह पढ़ने योग्य होती है — और anon की आपके फ़्रंटएंड में शिप होती है। RLS को सही ढंग से सक्षम करना Supabase ऐप को सुरक्षित करने का सबसे अहम क़दम है।
- critical→
उजागर Supabase की को कैसे ठीक करें
दो मामले हैं। anon की सार्वजनिक होने के लिए ही है — अगर सिर्फ़ वही उजागर है, तो RLS आपका फ़िक्स है। पर अगर आपकी service-role की क्लाइंट या किसी सार्वजनिक रिपॉज़िटरी तक पहुँच गई, तो आपका पूरा डेटाबेस उजागर है और आपको उसे तुरंत रोटेट करना होगा।
- critical→
उजागर API की को कैसे रोटेट करें
जो API की फ़्रंटएंड या किसी सार्वजनिक रिपॉज़िटरी में शिप हो गई, उसे समझौता-ग्रस्त मान लेना चाहिए। एक फ़ाउंडर ने Stripe सीक्रेट की फ़्रंटएंड में शिप कर दी और उसके रोटेट कर पाने से पहले 175 ग्राहकों से चार्ज ले लिया गया। तेज़ी से रोटेट करें, पर सही क्रम में।
- medium→
अपने ऐप में सिक्योरिटी हेडर कैसे जोड़ें
AI-जनित ऐप लगभग हमेशा सिक्योरिटी हेडर के बिना शिप होते हैं, जिससे आप क्लिकजैकिंग, प्रोटोकॉल डाउनग्रेड और कंटेंट-इंजेक्शन हमलों के लिए खुले रह जाते हैं। इन्हें जोड़ना तेज़ और बहुत प्रभावी है।
इसे सिर्फ़ ठीक नहीं, सत्यापित भी कराना चाहते हैं?
इसे ठीक करना पहला क़दम है। ClearedToShip की समीक्षा पुष्टि करती है कि फ़िक्स सचमुच टिकता है और आपको लॉन्च के लिए एक हस्ताक्षरित, बीमित क्लियरेंस देती है। अर्ली एक्सेस में शामिल हों: