Dipende da cosa è la tua definizione di "sicuro".
Parlando rigorosamente come ingegnere, la mia definizione di un'applicazione "sicura" è abbastanza semplice:
- Non espone le informazioni sensibili (ad esempio credenziali, informazioni personali dall'uso dell'applicazione) a persone non autorizzate
- Non può essere sfruttato come "punto di ingresso" per altri attacchi su altri server, o nel mio controllo o no
- Non espone la logica aziendale sensibile o altre operazioni proprietarie basate sui dati memorizzati al suo interno
Tralascio lo scenario "snatch-and-grab" descritto per un dipendente interno alla tua organizzazione che preleva i dati dal tuo sistema e li distribuisce, dal momento che è una questione legale e politica più che una questione tecnologica. Da un punto di vista tecnico, le principali cose che puoi fare nello scenario questo sono garantire che l'accesso che hanno a quei sistemi sia revocato e che le credenziali utilizzate per l'app vengano ruotate.
Come per la maggior parte delle "sicurezza online", si riduce a un livello di fiducia presunta. Un'app Firebase opportunamente configurata probabilmente proteggerà da soggetti terzi non autorizzati l'accesso ai tuoi dati, impedirà agli attori di terze parti di compromettere il server su cui è attivo (ha ha di essere su qualcuno server da qualche parte ), e probabilmente non sarà eleggibile come trampolino di lancio per gli altri utenti per attaccare altri server.
Il problema sorge quindi con la fiducia di chi ospita i server Firebase. Sono loro affidabili e hanno una buona esperienza nel mantenimento dell'integrità dei dati? Quali politiche hanno in atto per un dipendente canaglia o scontento o danneggiando i dati (DoS efficace) o perdendo i dati? Dove si trova il contratto SLA che abbiamo con loro se dobbiamo portarli in tribunale?
Mi sono divertito con l'idea di usare Firebase per alcuni progetti di animali domestici, ma non mi sono mai impegnato a usarlo per qualcosa di importante finché non avrò almeno risposto alle domande legali. I dati con cui ho a che fare sono abbastanza sensibili da poter essere presi in prigione per una gestione impropria di esso, quindi dobbiamo essere molto consapevoli di chi gestisce i nostri dati e di cosa sono gli SLA.