appengine http secure？

Question

簡単な質問ですと思います。

私は私のユーザーを認証するためのAppEngineに

from google.appengine.api import users 

をGoogleのユーザーアカウントを使用する場合は、HTTP（HTTPSではない）の下で私のアプリの残りの部分どのように安全である、すなわち。そのような設定の弱点はどこにありますか？

おかげ

Answer 1

あなたの質問は不明ですが、HTTPアプリケーションでGoogleアカウントを使用しているユーザーを認証すると、攻撃者にパスワードが公開される可能性があるかどうかを尋ねる場合、答えは「いいえ」です。

あなたのアプリがSSLを使用していなくても、パスワードは決してプレーンテキストでは送信されません。認証が開始されると、ユーザーはgoogle.comの安全なページにリダイレクトされ、資格情報を入力します。認証情報はSSL経由で送信され、認証が成功するとGoogleは認証トークンを生成し、これがアプリに返されてCookieに格納されます。 Users APIは、このトークンをGoogle資格情報に解決する内部RPCを作成します。

攻撃者は、認証トークンを傍受し、トークンの有効期間（デフォルトで1日、最大2週間まで設定可能）の間、ユーザーを偽装することができます。彼らは決してパスワードにアクセスすることはできません。なりすましを防ぐには、ログインしたすべてのアクティビティがHTTPSで行われ、認証CookieがHTTP経由で保存されないようにする必要があります。

Answer 2

は、HTTPを介して送信何かが攻撃者によって傍受され、検査することができると仮定します。これには、ブラウザに格納して認証するトークンが含まれます。攻撃者はこれも見ることができ、要求を偽装するために使用することができます。

あなたが気にする必要のない「大脳」脆弱性のように思える場合は、FireSheepを読んでから、それがどのように働くのか理解するまで、ユーザーデータを保護する必要はありません。同様のことを防ぐ。これは唯一可能な攻撃ではありません。

要するに、このような設定の弱点は、あなたが何かを送信するためにhttpを使用しているすべてのポイントです私的にしたい