A partir de 0.6.4, durante o modo de desenvolvimento, os blocos is_client e is_server ainda vão para o sistema cliente. Não posso dizer se eles são separados quando você desliga o modo de desenvolvimento.
No entanto, se não forem, um hacker pode ser capaz de obter uma visão do sistema revisando os blocos do código if (Meteor.is_server). Isso me preocupa particularmente, especialmente porque observei que ainda não consigo separar as Coleções em arquivos separados no cliente e no servidor.
Atualizar
Bem, a questão é não colocar o código relacionado à segurança em um bloco is_server em um diretório que não seja do servidor (ou seja, certifique-se de que esteja em algo sob / server.
Eu queria ver se eu estava louco por não ser capaz de separar as coleções de cliente e servidor nos diretórios de cliente e servidor. Na verdade, não há problema com isso.
Aqui está meu teste. É um exemplo simples do modelo de publicação / assinatura que parece funcionar bem.
http://goo.gl/E1c56