EnMeteorito 0.5.8 Se introdujo el siguiente cambio:

Las llamadas a las funciones de actualización y eliminación de recopilación en código no confiable ya no pueden usar selectores arbitrarios. Debe especificar un ID de documento único al invocar estas funciones desde el cliente (que no sea en un código auxiliar de método).

Así que ahora, si desea enviar actualizaciones arbitrarias a la base de datos desde la consola del cliente, tiene que hacer algo como:

People.update({_id:People.findOne({name:'Bob'})['_id']}, {$set:{lastName:'Johns'}});

En lugar de:

People.update({name:'Bob'}, {$set:{lastName:'Johns'}});

Pensé que este problema de seguridad se controlaba al configurar las funciones Meteor.Collection.allow y .deny junto con los paquetes de publicación automática e inseguros. Me gustó poder interactuar con la base de datos de la Consola de JavaScript de Chrome.

¿Cuál es la motivación para los cambios en Meteor 0.5.8?