क्या मेरी Supabase anon की उजागर करना सुरक्षित है?

हाँ — anon की सार्वजनिक होने के लिए डिज़ाइन की गई है और आपके फ़्रंटएंड में शिप होती है। आपका बचाव रो-लेवल सिक्योरिटी नीतियों से आता है, anon की को गुप्त रखने से नहीं। पर service-role की कभी उजागर नहीं होनी चाहिए।

मैं कैसे जाँचूँ कि मेरी Supabase टेबल सार्वजनिक हैं या नहीं?

हमारा मुफ़्त Supabase RLS चेकर इस्तेमाल करें। अपना प्रोजेक्ट URL और anon की पेस्ट करें और यह बताता है कि कौन-सी टेबल बिना प्रमाणीकरण के डेटा लौटाती हैं।

क्या Supabase HIPAA अनुपालक है?

Supabase अपने भुगतान प्लान में हस्ताक्षरित BAA के साथ एक HIPAA-अनुपालक टियर देता है, पर अनुपालन एक साझा ज़िम्मेदारी है — आपको फिर भी RLS, एक्सेस कंट्रोल और लॉगिंग सही ढंग से कॉन्फ़िगर करनी होती है। प्लेटफ़ॉर्म का HIPAA-सक्षम होना आपके विशिष्ट ऐप को अनुपालक नहीं बना देता।

क्या Supabase सुरक्षित है? अपने Supabase ऐप को कैसे सुरक्षित करें

Supabase डिज़ाइन से सुरक्षित है — पर तभी जब आप रो-लेवल सिक्योरिटी चालू करें और उसे सही ढंग से कॉन्फ़िगर करें। ज़्यादातर एक्सपोज़र इसी क़दम को छोड़ देने से आता है।

संक्षिप्त उत्तर

Supabase एक अच्छी तरह बना, सुरक्षित प्लेटफ़ॉर्म है। लगभग हर Supabase डेटा ब्रीच एक ही ग़लती तक जाता है: रो-लेवल सिक्योरिटी अक्षम है या बहुत ढीली लिखी है, जिससे सार्वजनिक anon की पूरी टेबल पढ़ सकती है। anon की सार्वजनिक होने के लिए ही है — आपकी सिक्योरिटी RLS से आती है, की छिपाने से नहीं।

Supabase एक सुरक्षित, अच्छी तरह इंजीनियर किया गया प्लेटफ़ॉर्म है, और anon (सार्वजनिक) की आपके फ़्रंटएंड में उजागर होने के लिए ही डिज़ाइन की गई है। लगभग हर Supabase डेटा ब्रीच एक ही ग़लती पर आकर रुकता है: रो-लेवल सिक्योरिटी (RLS) अक्षम है या बहुत ढीली लिखी है, जिससे आपकी anon की रखने वाला कोई भी पूरी टेबल पढ़ सकता है। आपका बचाव RLS नीतियों से आता है, anon की को गुप्त रखने से नहीं। अगर आप लॉन्च से पहले सिर्फ़ एक काम करें, तो यह पुष्टि करें कि हर उस टेबल पर जो यूज़र डेटा रखती है, RLS सक्षम है और सही ढंग से दायरे में बँधा है।

Supabase सिक्योरिटी एक नज़र में

प्लेटफ़ॉर्म प्रकार: ओपन-सोर्स बैकएंड (Postgres, ऑथ, स्टोरेज)
सबसे आम जोखिम: RLS अक्षम या 'सब अनुमति' पर सेट
क्या anon की गुप्त है?: नहीं — यह डिज़ाइन से सार्वजनिक है; नियंत्रण RLS है
service-role की: ब्राउज़र तक कभी न पहुँचे — यह RLS को बायपास करती है
कैसे जाँचें: मुफ़्त Supabase RLS चेकर चलाएँ

Supabase के सबसे आम सिक्योरिटी जोखिम

किसी टेबल पर RLS अक्षम

RLS के बिना कोई भी टेबल आपकी anon की रखने वाले किसी के लिए भी पूरी तरह पढ़ने योग्य (और अक्सर लिखने योग्य) होती है — और anon की आपके फ़्रंटएंड में शिप होती है।

बहुत ढीली नीतियाँ

'सब अनुमति' या 'true' जैसी नीति तकनीकी रूप से RLS सक्षम कर देती है, पर डेटा को पूरी तरह खुला छोड़ देती है। RLS का 'चालू' होना उसके 'सही' होने जैसा नहीं है।

क्लाइंट में service-role की

service-role की RLS को पूरी तरह बायपास कर देती है। अगर यह ब्राउज़र या किसी सार्वजनिक रिपॉज़िटरी तक पहुँच जाए, तो आपका पूरा डेटाबेस उजागर हो जाता है।

अपने Supabase ऐप को कैसे सुरक्षित करें

अपने Supabase ऐप को 60 सेकंड में जाँचें

मुफ़्त लॉन्च-रेडिनेस स्कैन के लिए अपना डिप्लॉय किया हुआ URL पेस्ट करें, फिर लॉन्च से पहले इंसान द्वारा समीक्षित, बीमित क्लियरेंस पाएँ।

Supabase सिक्योरिटी से जुड़े सवाल-जवाब

क्या मेरी Supabase anon की उजागर करना सुरक्षित है?: हाँ — anon की सार्वजनिक होने के लिए डिज़ाइन की गई है और आपके फ़्रंटएंड में शिप होती है। आपका बचाव रो-लेवल सिक्योरिटी नीतियों से आता है, anon की को गुप्त रखने से नहीं। पर service-role की कभी उजागर नहीं होनी चाहिए।
मैं कैसे जाँचूँ कि मेरी Supabase टेबल सार्वजनिक हैं या नहीं?: हमारा मुफ़्त Supabase RLS चेकर इस्तेमाल करें। अपना प्रोजेक्ट URL और anon की पेस्ट करें और यह बताता है कि कौन-सी टेबल बिना प्रमाणीकरण के डेटा लौटाती हैं।
क्या Supabase HIPAA अनुपालक है?: Supabase अपने भुगतान प्लान में हस्ताक्षरित BAA के साथ एक HIPAA-अनुपालक टियर देता है, पर अनुपालन एक साझा ज़िम्मेदारी है — आपको फिर भी RLS, एक्सेस कंट्रोल और लॉगिंग सही ढंग से कॉन्फ़िगर करनी होती है। प्लेटफ़ॉर्म का HIPAA-सक्षम होना आपके विशिष्ट ऐप को अनुपालक नहीं बना देता।