firebase-security-rules-auditor

par firebase

Une compétence pour évaluer la sécurité des règles de sécurité Firestore. Utilisez-la lorsque les règles de sécurité Firestore sont mises à jour pour garantir que les règles générées sont…

npx skills add https://github.com/firebase/skills --skill firebase-security-rules-auditor
Télécharger ZIPGitHub
360

Overview

This skill acts as an auditor for Firebase Security Rules, evaluating them against a rigorous set of criteria to ensure they are secure, robust, and correctly implemented.

Scoring Criteria

Assessment: Security Validator (Red Team Edition)

You are a Senior Security Auditor and Penetration Tester specializing in Firestore. Your goal is to find "the hole in the wall." Do not assume a rule is secure because it looks complex; instead, actively try to find a sequence of operations to bypass it.

Mandatory Audit Checklist:

  1. The Update Bypass: Compare 'create' and 'update' rules. Can a user create a valid document and then 'update' it into an invalid or malicious state (e.g., changing their role, bypassing size limits, or corrupting data types)?
  2. Authority Source: Does the security rely on user-provided data (request.resource.data) for sensitive fields like 'role', 'isAdmin', or 'ownerId'? Carefully consider the source for that authority.
  3. Business Logic vs. Rules: Does the rule set actually support the app's purpose? (e.g., In a collaboration app, can collaborators actually read the data? If not, the rules are "broken" or will force insecure workarounds).
  4. Storage Abuse: Are there string length or array size limits? If not, label it as a "Resource Exhaustion/DoS" risk.
  5. Type Safety: Are fields checked with 'is string', 'is int', or 'is timestamp'?
  6. Field-Level vs. Identity-Level Security: Be careful with rules that use `hasOnly()` or `diff()`. While these restrict which fields can be updated, they do NOT restrict who can update them unless an ownership check (e.g., `resource.data.uid == request.auth.uid`) is also present. If a rule allows any authenticated user to update fields on another user's document without a corresponding ownership check, it is a data integrity vulnerability.

Admin Bootstrapping & Privileges:

The admin bootstrapping process is limited in this app. If the rules use a single hardcoded admin email (e.g., checking request.auth.token.email == '[email protected]'), this should NOT count against the score as long as:

  • email_verified is also checked (request.auth.token.email_verified == true).
  • It is implemented in a way that does not allow additional admins to add themselves or leave an escalation risk open.

Scoring Criteria (1-5):

  • 1 (Critical): Unauthorized data access (leaks), privilege escalation, or total validation bypass.
  • 2 (Major): Broken business logic, self-assigned roles, bypass of controls.
  • 3 (Moderate): PII exposure (e.g., public emails), Inconsistent validation (create vs update) on critical fields
  • 4 (Minor): Problems that result in self-data corruption like update bypasses that only impact the user's own data, lack of size limits, missing minor type checks or over-permissive read access on non-sensitive fields.
  • 5 (Secure): Comprehensive validation, strict ownership, and role-based access via secure ACLs.

Return your assessment in JSON format using the following structure: { "score": 1-5, "summary": "overall assessment", "findings": [ { "check": "checklist item", "severity": "critical|major|moderate|minor", "issue": "description", "recommendation": "fix" } ] }

Plus de skills de firebase

firebase-remote-config-basics
firebase
Guide complet pour Firebase Remote Config, incluant la gestion des modèles et l'utilisation du SDK. Utilisez cette compétence lorsque l'utilisateur a besoin d'aide pour configurer Remote Config, gérer les indicateurs de fonctionnalités ou mettre à jour dynamiquement le comportement de l'application.
officialdevelopmentapi
developing-genkit-dart
firebase
SDK IA unifié pour Dart permettant la génération de code, les sorties structurées, les outils, les flux et les agents. Fournit des API centrales pour la génération, la définition d'outils, l'orchestration de flux, les embeddings et le streaming avec une interface unique. Inclut 8+ plugins pour les fournisseurs LLM (Google Gemini, Anthropic Claude, OpenAI GPT), Firebase AI, Model Context Protocol, l'intégration du navigateur Chrome et l'hébergement de serveur HTTP via Shelf. CLI intégré avec interface utilisateur de développement local pour l'exécution de flux, le traçage, l'expérimentation de modèles et...
official
developing-genkit-go
firebase
Développez des applications alimentées par l'IA en utilisant Genkit en Go. Utilisez lorsque l'utilisateur demande de créer des fonctionnalités d'IA, des agents, des flux ou des outils en Go avec Genkit, ou lorsque vous travaillez…
official
developing-genkit-js
firebase
Créez des applications Node.js/TypeScript alimentées par l'IA avec les flux, outils et support multi-modèle de Genkit. Genkit est indépendant du fournisseur ; il prend en charge Google AI, OpenAI, Anthropic, Ollama et d'autres fournisseurs de LLM via des plugins. Définissez des flux avec des schémas typés sécurisés utilisant Zod, exécutez des requêtes de génération et composez des workflows IA multi-étapes en TypeScript. Nécessite Genkit CLI v1.29.0+ ; des changements majeurs récents de l'API signifient que vous devez consulter genkit docs:read et common-errors.md pour les modèles actuels, et non les connaissances antérieures...
official
developing-genkit-python
firebase
Développez des applications alimentées par l'IA en utilisant Genkit en Python. Utilisez lorsque l'utilisateur pose des questions sur Genkit, les agents IA, les flux ou les outils en Python, ou lorsqu'il rencontre Genkit…
official
firebase-ai-logic
firebase
We need to translate the given text from English to French. The text describes a client-side Gemini integration for web apps. We must preserve the name "firebase-ai-logic" but it's not in the text, so we don't include it. We translate only the text inside <text>. No extra labels. Keep technical terms like "Gemini", "Gemini Nano", "Chrome", "Cloud Storage", "App Check", "JSON", "multimodal", "streaming", "hybrid execution", "on-device inference", "fallback", etc. Translate the rest naturally. The text: "Client-side Gemini integration for web apps with multimodal inference, streaming, and on-device hybrid execution. Supports text-only and multimodal inputs (images, audio, video, PDFs); files over 20 MB route through Cloud Storage Includes chat sessions with automatic history, streaming responses for real-time display, and structured JSON output enforcement Offers hybrid on-device inference via Gemini Nano in Chrome, with automatic fallback to cloud execution Requires App Check for production..." We need to
official
firebase-ai-logic-basics
firebase
Compétence officielle pour intégrer Firebase AI Logic (API Gemini) dans les applications web. Couvre la configuration, l'inférence multimodale, la sortie structurée et la sécurité.
official
firebase-app-hosting-basics
firebase
Déployez et gérez des applications web full-stack avec Firebase App Hosting en utilisant Next.js, Angular et d'autres frameworks pris en charge. Nécessite un projet Firebase avec le plan tarifaire Blaze ; prend en charge les workflows de rendu côté serveur (SSR) et de régénération statique incrémentielle (ISR). Déployez via la configuration firebase.json avec un fichier apphosting.yaml optionnel pour la configuration backend, ou activez le déploiement automatisé "git push to deploy" via l'intégration GitHub. Inclut la gestion des secrets via des commandes CLI pour un accès sécurisé aux clés sensibles...
official