簡単な質問ですと思います。appengine http secure?
私は私のユーザーを認証するためのAppEngineに
from google.appengine.api import users
をGoogleのユーザーアカウントを使用する場合は、HTTP(HTTPSではない)の下で私のアプリの残りの部分どのように安全である、すなわち。そのような設定の弱点はどこにありますか?
おかげ
簡単な質問ですと思います。appengine http secure?
私は私のユーザーを認証するためのAppEngineに
from google.appengine.api import users
をGoogleのユーザーアカウントを使用する場合は、HTTP(HTTPSではない)の下で私のアプリの残りの部分どのように安全である、すなわち。そのような設定の弱点はどこにありますか?
おかげ
あなたの質問は不明ですが、HTTPアプリケーションでGoogleアカウントを使用しているユーザーを認証すると、攻撃者にパスワードが公開される可能性があるかどうかを尋ねる場合、答えは「いいえ」です。
あなたのアプリがSSLを使用していなくても、パスワードは決してプレーンテキストでは送信されません。認証が開始されると、ユーザーはgoogle.comの安全なページにリダイレクトされ、資格情報を入力します。認証情報はSSL経由で送信され、認証が成功するとGoogleは認証トークンを生成し、これがアプリに返されてCookieに格納されます。 Users APIは、このトークンをGoogle資格情報に解決する内部RPCを作成します。
攻撃者は、認証トークンを傍受し、トークンの有効期間(デフォルトで1日、最大2週間まで設定可能)の間、ユーザーを偽装することができます。彼らは決してパスワードにアクセスすることはできません。なりすましを防ぐには、ログインしたすべてのアクティビティがHTTPSで行われ、認証CookieがHTTP経由で保存されないようにする必要があります。
私のウェブサイトでGoogleユーザーを偽装してエントリを作成することができれば、それは私の質問にかなり答えてくれます。ありがとう – khany
は、HTTPを介して送信何かが攻撃者によって傍受され、検査することができると仮定します。これには、ブラウザに格納して認証するトークンが含まれます。攻撃者はこれも見ることができ、要求を偽装するために使用することができます。
あなたが気にする必要のない「大脳」脆弱性のように思える場合は、FireSheepを読んでから、それがどのように働くのか理解するまで、ユーザーデータを保護する必要はありません。同様のことを防ぐ。これは唯一可能な攻撃ではありません。
要するに、このような設定の弱点は、あなたが何かを送信するためにhttpを使用しているすべてのポイントです私的にしたい
あなたのアプリがどのようにコード化されているかによって、私は疑わしいと考えます。 – bdavenport
@MindlessTuxあなたのコメントを適切に評価するためには、より具体的なものが必要です。ありがとう。 – khany