Od wersji 0.6.4, w trybie programowania, bloki is_client i is_server nadal trafiają do systemu klienta. Nie mogę powiedzieć, czy są one oddzielone po wyłączeniu trybu programowania.
Jeśli jednak tak nie jest, haker może uzyskać wgląd w system, przeglądając bloki kodu if (Meteor.is_server). Szczególnie mnie to niepokoi, zwłaszcza że zauważyłem, że nadal nie mogę posegregować Kolekcji na osobne pliki na kliencie i serwerze.
Aktualizacja
Cóż, chodzi o to, aby nie umieszczać kodu związanego z bezpieczeństwem w bloku is_server w katalogu innym niż serwer (tj. - upewnij się, że jest w czymś pod / server.
Chciałem sprawdzić, czy zwariowałem na punkcie niemożności rozdzielenia kolekcji klienta i serwera w katalogach klienta i serwera. W rzeczywistości nie ma z tym problemu.
Oto mój test. To prosty przykład modelu publikowania / subskrypcji, który wydaje się działać dobrze.
http://goo.gl/E1c56