Chiave privilegiata nel frontend
Le chiavi service-role e secret aggirano RLS e non devono mai raggiungere il browser.
Controlli di sicurezza Supabase
BoringSec distingue le chiavi client pubbliche dai segreti privilegiati e usa sonde limitate in sola lettura quando il progetto è verificabile.
Usalo dopo modifiche a policy, storage, autenticazione o ambiente e prima di esporre dati reali.
Scansiona solo sistemi di tua proprietà o per cui sei autorizzato. I motori approfonditi richiedono un’autorizzazione verificata e possono non essere disponibili.
Esempio di struttura del rapporto
Questo rilievo è illustrativo, non è un risultato della tua applicazione. I rapporti reali mostrano scanner, stato dell’evidenza e limiti di copertura del bersaglio.
Percorsi di rischio comuni
Sono rischi rilevanti per i progetti Supabase, non affermazioni su ogni progetto. Un rilievo appare solo quando lo scanner fornisce evidenza.
Le chiavi service-role e secret aggirano RLS e non devono mai raggiungere il browser.
Policy mancanti o troppo ampie possono esporre dati tramite l’API pubblica.
Policy di bucket e oggetti possono esporre file non collegati dall’interfaccia.
Copertura trasparente
URL, codice collegato e motori approfonditi autorizzati rispondono a domande diverse. BoringSec separa le fonti e mostra stati parziali, bloccati o non disponibili.
Leggi la metodologia pubblica (in inglese)Rileva URL supportati e distingue chiavi pubbliche da formati privilegiati.
Usa letture con limite e segnala esiti limitati, vulnerabili, non verificati o saltati.
Controlla elenchi di bucket limitati senza caricare, cambiare o eliminare oggetti.
Errori, limiti e rifiuti riducono la copertura invece di produrre un’approvazione.
Dall’osservazione alla verifica
Ispeziona la risposta pubblica e avvia i motori in background applicabili.
Controlla cosa è stato osservato, da quale scanner e con quale affidabilità.
Usa una correzione concreta e il contesto rilevante per RLS Supabase.
Esegui una nuova valutazione; il monitoraggio rileva regressioni successive.
No. Le chiavi pubbliche sono previste; RLS e policy di storage sono il confine.
No. Le sonde sono limitate e in sola lettura; non inseriscono, aggiornano o eliminano.
No. Dimostra solo i percorsi osservati; i ruoli autenticati richiedono contesto autorizzato.
No. La copertura parziale, bloccata o non disponibile resta visibile.
Inizia dall’URL pubblico. Aggiungi codice o contesto autenticato solo quando vuoi ampliare la copertura.
Avvia una scansione di sicurezza