LeanCloud 安全性提醒

thumb-security-640x360

最近向我们反馈受到数据安全性方面恶意攻击的用户有增多的趋势。虽然 LeanCloud 提供了全面可靠的安全机制,但不少用户因为只关注了开发上的方便,没有足够重视安全性,以至于没有合理使用(有时甚至是没有使用)我们提供的安全机制,以至于给了攻击者可乘之机。我们在此特别提醒所有用户对自己应用的安全性进行检查,特别是:

  • 仔细阅读 LeanCloud 的 数据和安全 文档。
  • 全面检查 Class 和 Object 级别的 ACL 设置,确保只开放了实现应用功能所需的最低权限。
  • 如果对 _User 表没有特殊查询需求,请关闭查询权限,这不会影响注册和登录等操作。虽然 LeanCloud 对密码加密存储以确保不会泄漏,但仍然应该关闭查询权限以避免用户 email、电话号码等高价值信息被非法访问。
  • 对于特别敏感的数据,可以考虑关闭所有权限,使用 LeanEngine 提供有更多自定义限制的访问接口。

我们在近期也将推出安全检查工具,帮助用户自动发现应用设定中可能存在的风险,并在开发者后台做出改进让我们的安全机制更加易用。

如果您在这方面有任何疑问,欢迎在我们的 论坛 或工单系统提出。如果您受到数据安全性方面的威胁或者攻击而需要我们协助,可以发送邮件到 support@leancloud.rocks。

发表评论

电子邮件地址不会被公开。 必填项已用*标注