Играя с Meteor, я обнаружил, что даже при снятом небезопасном пакете клиент может изменить функцию Meteor.userId. Например,
Meteor.userId=function() {return "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"}
как это можно сделать с помощью Meteor.default_connection.userId()
(перенаправленная функция). Как защитить это?