Webサービスを公開する場合の注意点!

Silicon Valley Super Ware

2020年5月17日


Webサービスを公開する場合の注意点!

先週は、「Vue.js」での実装にポイントをおいて、お問合せフォームの実装について 説明してきました。
実際に初めて「Vue.js」の開発環境を使う人には大変だったと思いますが、 如何でしょうか?連載の主体が、Webサービスを作る事に置いているので、 Vue.jsに関しては、時々ポイントを取り上げて行くという形で今後も対応していきます。
今日はサービスを公開する前の注意点について書いていきます。

その中でも重要なのが「セキュリティ」です。

今日のメインのテーマは、「Firebase」のセキュリティです。

Firebaseのセキュリティ

Firebaseのセキュリティの基本は、誰が「読み込み」や「書き込み」が できるかという設定です。
さらに詳しく分けるとFirebaseのデータベースでは大きく分けて以下の設定ができます
  • データエントリー(Firebaseのドキュメント)の新規作成
  • データエントリーの情報の更新
  • データエントリーの情報の削除
  • データエントリーの読み込み
これをFirebaseコンソールのルール設定で定義できるようになっています。

セキュリティールールで設定する事が重要!

先週の話を見ると、お問合せのデータのアクセスにはログインが必要で、 ログインしてから表示すれば問題がないのでは?と思うかもしれません。
実はそれでは不十分です。

理由は、JavaScriptのコードはブラウザーから見る事が出来るからです!

つまり、データベースへのアクセスの仕方を知っていれば、コードを見ると セキュリティールールできちんと設定がされていないと、誰でもデータを 見る事が出来る事になります。
Firebaseのデータベースの設定を最初に行うときに実は聞かれているのですが、 最初のルール設定には2つの選択肢があります。

テストモードを選ぶと一定期間(30日間)は誰でもアクセスできるルールが設定されます。

プロダクションモードの場合、細かいルール設定をしないとアクセスが出来ない 設定になります。
テスト時は、インターネット上に公開しないで自分のPCのみでアクセスする 場合が殆どなので、通常は他人にプロジェクトの存在は知られていません。 なので、「誰でもアクセスできる」設定にしても大きな問題にならないのが 普通です。

公開すると、そのプロジェクト(データベース)の存在は公になります。

つまり、悪意の人にもアクセスができるようになってしまうので、 セキュリティルールをきちんと設定した上で公開する必要があります。

どんな設定が必要か?

まずは、お問合せを送る部分では、一般ユーザー(基本的に誰でも) お問合せをすると考えると、「ドキュメントの新規作成」は 全ての人に開放する必要があります。
サービスの性格を考えると、それ以外のアクセスは許可しないというのが 一般的な考えかたです。
更新するためには読み出しが必要ですが、ユーザー登録なしで お問合せをする場合お問合せ者の特定はできません。 従って、全てのメッセージの読み込みの許可をする必要が出てくるので、 更新は許可しないという事になります。 削除も同様で勝手に削除されては困るので、一般ユーザーは禁止です。

管理者は、読み込み、削除の権限は必要です。

実際は、管理者が問い合わせたり、書き込みを更新する必要はありません。 しかし、セキュリティルール上は、全ての権限を与えてしまうのが普通です。

実際のルールは?

一般ユーザーに与える新規作成の権利はメッセージのコレクションのみ!
必要以上の権限を与えないのが重要なので、必要なメッセージを格納する コレクションのみ新規作成の権限があれば良い事になります。
一方で管理者は全ての読み書きを出来るようにする必要があります。 管理者を特定するには、管理者がログインした際のUIDを使って 管理者かどうかをチェックすれば実現できます。
これがルールの例です。
rules_version = '2';
service cloud.firestore {
   match /databases/{database}/documents {
      match /{document=**} {
         allow read, write: if request.auth.uid == "xxxxxxxxxxxx";       }
      match /message/{message_id} {
         allow create;       }
   }
}
こうしておけば、データベースへのアクセスのやり方がばれたとしても、 管理者として、Firebaseにログインができなければ、新規作成以外のアクセスが出来なくなります。
シリコンバレースーパーウエアでは、シンプルなWebサービスの作り方だけではなく、 より複雑なWebサービスをテーマにした講座も同時に提供しています。 さらに、作ったWebサービスを利用したビジネスの展開まで考えたWebサービスの 作り方がわかるようになります。

興味のある方は今すぐお問合せください!



またよろしければ、ニュースレターの登録をお願いします!大体週一回お届けしています。ブログよりは一歩踏み込んだもっと濃い内容を発信しています。


Copyright(c) 2020 by Silicon Valley Super Ware, all rights reserved.

コメント

コメントを投稿

このブログの人気の投稿

ユーザーインターフェースの設計

イメージ
ホーム ブログ Firebase情報 ユーザーインターフェースの設計 2022年10月12日 ユーザーインターフェースの設計 前回は、入力フォームを変更して四則演算をできるようにしました。利用しているフォームは数式の穴埋め形式になっています。計算をする場合、一般的な電卓のようなインターフェースの方が一般の方には使いやすい場合が多いと言えます。今回は、ユーザーインターフェースを変更して一般的な電卓のようにする方法について考えてみました。 HTML でデザイン これまでの、ユーザーインターフェースは、数式の穴埋め形式のフォームでした。 今回は、一般的な電卓のようなユーザーインターフェースを実現します。 この記事では、プログラムの部分は取り敢えず別にして、まずはユーザーインターフェースを作成することにします。 Web アプリの場合、ユーザーインターフェースは基本的に HTML で記述します。 今回の電卓形式のユーザーインターフェースは、電卓の数字を表示する部分(ディスプレイ部分)と数字や演算子を入力する部分(ボタン部分)に分けて考えることができます。 HTML では、「input」のタグでディスプレイ部分を、「button」のタグでボタン部分を記述できます。 <!DOCTYPE html> <html> <head> <title>Calculator</title> </head> <body> <div class="calc"> <div> <input class="display" type="text" /> </div> <div class="keypad"> <div> <button class="clea
続きを読む

足し算以外もできるようにする

イメージ
ホーム ブログ Firebase情報 足し算以外もできるようにする 2022年9月29日 足し算以外もできるようにする 穴埋め形式の数式のフォームを使って足し算をするプログラムを紹介しましたが、同じ要領で、引き算、掛け算、割り算もサポートできるとさらに便利です。この記事では、足し算のプログラムを拡張して、整数の子息演算をできるようにした例を紹介します。 演算子を選べるように変更する 足し算のアプリでは、計算できるのは足し算だけだったので、フォームには「+」を固定で表示していました。 この部分に変更を加えて、必要な演算子を選択できるようにすれば、引き算、掛け算、割り算もサポートできるようにできます。 これには、HTML の記述を変更してフォームを変更する必要があります。 <label>+</label> を以下のように変更します。 <select onchange="operatorChanged(event)"> <option>+</option> <option>-</option> <option>*</option> <option>/</option> </select> HTML の「select」タグを使って、選択肢は、「option」タグで記述するだけです。 演算子の変更を反映する プログラム側でやることは三つです。 初期状態の演算子を設定する (最初にフォーム上で表示されている演算子をセットする) 演算子の変更を検出して、現在選択されている選択肢を更新する 「Calcullate」ボタンがクリックされたら必要な処理を呼び出す 現在どの演算子が選択されているかを知る必要があります。実装方法は幾つかありますが、今回は選択が変更される度に現在選択されている演算子を更新する方法を採用した例を紹介します。 これには、現在選択されている演算子を保存する変数「operator」を用意して管理します。
続きを読む

改良版足し算プログラム

イメージ
ホーム ブログ Firebase情報 改良版足し算プログラム 2022年9月15日 改良版足し算プログラム 前回は、入力データのチェックを工夫することで、データを処理する前に想定外のデータの入力を制限するユーザーインターフェースの設計について紹介しました。この記事では、そのコンセプトを使って、実際に足し算をするプログラムにしてみました。今回のポイントは、ユーザーインターフェースとデータ処理を分けるという点に注目してみました。プログラムの設計の際には、この二つの境界をきちんと設定する事が大切です。 データの処理は? このプログラムは、入力された二つの整数を足して結果を表示するというシンプルなプログラムです。 このプログラムのデータ処理部分は、実は二つの整数の足し算をするだけです。 つまり、プログラムのデータ処理部分は以下の関数「add(a, b)」だけです。 function add(a, b) { return a + b; } 処理自体は、二つの整数「a」と「b」を受け取って、この二つの整数を足し算した結果を返すというシンプルなものです。 残りのプログラムは? このプログラムのデータ処理部分は、至ってシンプルです。 では、残りのプログラムは何かというと、これがユーザーインターフェースになります。 <!DOCTYPE html> <html> <head> <title>Add Program</title> </head> <body> <div> <input id="opeland0" type="text" placeholder="Please input integer" /> <label>+</label> <input id="opeland1" type="text&qu
続きを読む