Clé privilégiée dans le frontend
Les clés service-role et secret contournent RLS et ne doivent jamais atteindre le navigateur.
Contrôles de sécurité Supabase
BoringSec distingue les clés clientes publiques des secrets privilégiés et utilise des sondes limitées en lecture seule lorsque le projet est vérifiable.
À utiliser après toute modification des politiques, du stockage, de l’authentification ou de l’environnement.
Scannez uniquement les systèmes qui vous appartiennent ou pour lesquels vous êtes autorisé. Les moteurs approfondis exigent une autorisation vérifiée et peuvent être indisponibles.
Structure d’un exemple de rapport
Ce constat est illustratif et ne concerne pas votre application. Les rapports réels indiquent le scanner, l’état des preuves et les limites de couverture de la cible.
Scénarios de risque courants
Il s’agit de risques pertinents pour les projets Supabase, pas d’affirmations sur chacun d’eux. Un constat apparaît uniquement lorsqu’un scanner fournit une preuve.
Les clés service-role et secret contournent RLS et ne doivent jamais atteindre le navigateur.
Des politiques absentes ou trop larges peuvent exposer les données via l’API publique.
Les politiques de buckets et d’objets peuvent exposer des fichiers non liés.
Couverture transparente
L’URL, le code connecté et les moteurs approfondis autorisés répondent à des questions différentes. BoringSec sépare les sources et affiche les états partiels, bloqués ou indisponibles.
Lire la méthodologie publique (en anglais)Détecte les URL prises en charge et différencie clés publiques et formats privilégiés.
Utilise des lectures plafonnées et indique les résultats restreints, vulnérables, non vérifiés ou ignorés.
Contrôle les listes de buckets sans ajouter, modifier ni supprimer d’objets.
Les échecs, limites et rejets réduisent la couverture au lieu de produire une réussite.
De l’observation à la vérification
Inspectez la réponse publique et lancez les moteurs en arrière-plan applicables.
Voyez ce qui a été observé, par quel scanner et avec quel niveau de confiance.
Utilisez une correction concrète et le contexte pertinent pour RLS Supabase.
Lancez une nouvelle évaluation ; la surveillance détecte les régressions ultérieures.
Non. Les clés publiques sont prévues ; RLS et les politiques de stockage constituent la frontière.
Non. Les sondes sont limitées et en lecture seule ; elles n’insèrent, ne modifient ni ne suppriment.
Non. Elle prouve uniquement les chemins observés ; les rôles authentifiés exigent un contexte autorisé.
Non. La couverture partielle, bloquée ou indisponible reste visible.
Commencez par l’URL publique. Ajoutez le code ou un contexte authentifié seulement si vous souhaitez étendre la couverture.
Lancer une analyse de sécurité