Discussion :

[bams2009]

Salut tout le monde 🤗

Je débute dans le code (vous le comprendrez sûrement vite si je pose des questions trop évidentes!) et je travaille sur un site web que je développe en angular

Je ne comprends pas bien le fonctionnement des règles dans firebase (malgré pas mal de temps passé à éplucher la doc et scruter les forums..)

Est-ce qu'il est indispensable de créer un système d'authentification pour protéger sa base de données firebase?
Je veux dire par là que j'ai crée déjà une base de données dans laquelle j'ai rentré le contenu du site et j'ai besoin que le site soit accessible sans que l'on soit loggé mais j'ai l'impression que toutes les règles que je trouve nécessitent un request.auth

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if request.auth != null;
    }
  }
}

Hésitez pas à me demander des infos supplémentaires s'il vous en faut!
Merci beaucoup

[dukoid]

tout dépends si tu veux sécurisé ou pas tes données. tu n'es pas obligé de sécurisé.
en javascript l'url de la base de données et la config firebase d'accès est accessible depuis le navigateur. sans sécurité, il suffit de les récupérer et n'importe qui peut aller lire ou modifier...


de plus, dans firebase il y a base pour les documents (pdf, image...) et une base pour les données en noSql
ne confonds pas les 2, tu dois aller dans databases pour les données

[bams2009]

ok merci @dukoid

yes pour database je pense que j'ai compris (et storage pour les assets)

Mais tu veux dire que quoiqu'il arrive, sans authentification, n'importe qui peut aller lire (ça ok, normal) mais également MODIFIER la base ?
Je suis pas parano de la sécurité, mais du coup n'importe qui pourrait modifier le contenu de mon site sans mon autorisation??

[krakatoa]

oui c'est ça ! lecture et modification

comme n'importe que site web sans système de sécurité

[bams2009]

Je suis largué!!

Non mais attends, si je vais par exemple sur le site de L'Equipe , sans être connecté sur un compte, j'ai bien accès à une partie du contenu, mais n'importe qui ne peut tout de même pas accéder à leur base de données et la modifier quand même, si?

[bams2009]

Est-ce que si j'indique uniquement 'allow read;' et pas 'allow write;' ça suffit ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
    	allow read;
    }
  }
}

[krakatoa]

Je suis largué!!

Non mais attends, si je vais par exemple sur le site de L'Equipe , sans être connecté sur un compte, j'ai bien accès à une partie du contenu, mais n'importe qui ne peut tout de même pas accéder à leur base de données et la modifier quand même, si?

tu confonds les données persos et les données de ressources (textes, images..)

que se soit sur angular ou un site web hebergé sur un serveur , les données sont en lecture seule. on ne peut pas les modifier
le serveur web renvoi le texte et les images c'est tout !
sur angular, le navigateur affiche le texte et les images que contient l'application, c'est tout ! meme si tu modifie l'image là sur le navigateur ça n'a aucun interet puisque tu ne modifie l'image qui est sur le serveur (le serveur qui t'as envoyé l'application)

après il y a les données persos comme quand tu rempli un formulaire
ces données faut bien les enregistrer, sur une base de données firebase ou type mySql et c'est là que la sécurité rentre en jeu


que se soit un projet angular, un site web php, java.... un formulaire est envoyé à un serveur via cette url
l'url est connu depuis le navigateur, un hackeur avec un logiciel indique l'url en question et envoi des formulaires bidons.
tu as remarqué que sur les formulaires de contact, il y a un captcha ce qui empeche les robots d'envoyer des milliers de formulaire au serveur juste pour le remplir et le faire planter