クライアント側でPouchDBを使用してリモートサーバーにアクセスする際には、どのようなセキュリティ対策を講じるべきですか? - たとえPouchDBのセキュリティ
var remoteCouch = 'http://user:[email protected]/todos';
問題は、私はおそらくユーザーは、彼らがダウンロードできるファイルに平文パスワードを表示したくないです:コードを使用して、リモートサーバとの同期https://pouchdb.com/getting-started.html上
例そのファイルは認証されたユーザーのみに表示されます。
お知らせください。事前に感謝、
これはあなたのリモートサーバーによって異なります。 CouchDBサーバーを使用する場合は、SSL(HTTPS)経由でのみ通信できるように構成できます(詳細はdocsを参照)。
CouchDBサーバーをインターネットに直接公開したくない場合は、逆引きプロキシの背後に隠すこともできます。 mod_proxy拡張機能とSSLを有効にしたApacheサーバー
すべてのサイトユーザは、自分のCouchDBユーザを持っている必要があります。 @onnoが示唆するように、HTTPSとユーザのログイン認証情報を使用してCouchDBにアクセスします。クライアント側のJavaScriptではパスワードを使用できません。
ここには、CouchDBのすべての認証に関するreally good articleがあります。
私はCouchDBでローカルサーバ上でHTTPを使用するように設定されているプロダクションサーバを持っていますが、外部リクエストはHTTPSをstunnel経由でCouchDBにリダイレクトする必要があります。
クライアントでは、PouchDBを使用してローカルのレプリケートされたdbを維持します。 HTTPS経由のCouchDBとの通信を確立するためのハンドシェイクの一環として、ソフトウェアは別のサーバからCouchDBの認証情報を取得します。認証情報は決してクライアント側に保存されません。
pouchdb-authenticationは良いプラグインですが、私は個人的に認証を処理する方が良いことがわかりました。
SSLを使用しても、javascriptソースからパスワードを読み取ることができる攻撃者は役に立ちません –