サイトのログインが不要な場合、データベース（Cloud Firestore）のセキュリティを保護されないままにすることはできますか？

Question

私はAngularでゲームを構築しています（初めて初めて）私はハイスコアテーブルを追加しようとしています。私はFirebaseアカウントを設定し、Firestore (Beta)データベースを稼働させて接続しました。

私は非常に単純なハイスコアシステムが欲しいです。ユーザーはログインしたり、アカウントを作成したりする必要はなく、単に上がって遊んだり、高いスコアを達成したら名前を入力して、テーブルに記録して表示します。

ログインが不要で基本的なの名前/スコア/タイムスタンプのデータのみが保存される状況では、以下のように自分のセキュリティルールをそのまま残すか、より良い方法で構造化することができますかそれら？

service cloud.firestore { 
    match /databases/{database}/documents { 
    match /{document=**} { 
     allow read, write; 
    } 
    } 
} 

彼らは、私は私のデータベースが参照して誰にでも開かれているが、これは私の特定の状況で本当に悪いです警告が表示されますか？私はデータベースnewbとして見ていないこの問題はありますか？

これは私にとって新しい（複雑な）領域なので、アドバイスは素晴らしいものです。

乾杯

Answer 1

ここでは、赤い点滅の下線付きテキストを使用したいと考えていますが、は、このルールセットを使用してデータベースを残すことは間違いありません。

あなたのゲームをプレイする人はあなたのデータベースを見るでしょう。あなたが持っているルールセットを使えば誰でもデータベースに何かを読み書きすることができます（スコアボードだけでなく）。誰でもあなたのデータベースを使って自分のシステムを稼働させることができます。費用はアカウントに請求されます。最低で

、あなたが提供してきた説明を、あなたがすべき与えられた：

• スコアが有効な値（例えば整数である&が
• あなたのスコアボードコレクションへの書き込み検証を読んのみを許可し、一定の範囲内で
• 検証名前が有効な値である（可能なXSS攻撃から保護するのに役立つ）scoreとname以外
• 検証余分なフィールドがdocumに書き込まれていることent（他のペイロードを隠すことはできません）。

Answer 2

は一般的に、これらの設定はtesting purposesのために使用されています。これらの情報をパブリックにすることができると判断した場合にのみ、ユーザーがデータベースから読み取ることを許可できます。機密情報（ユーザー情報など）がある場合は、データベースを保護し、その情報を読むことができると判断したユーザーのみを許可することが必須です。したがって、後で認可を追加することを決定した場合は、データベースを保護する必要があります。それはライティングの目的に関しても同じです。

希望します。