2
一個簡單的問題,我想。appengine http安全嗎?
如果我使用谷歌的用戶帳戶中的AppEngine
from google.appengine.api import users
我的用戶進行身份驗證,如何安全是我的應用程序在HTTP下的剩餘部分(不是HTTPS),即。這種設置的弱點在哪裏?
感謝
A
回答
2
您的問題尚不清楚,但如果您詢問是否在HTTP應用上使用Google帳戶驗證用戶是否可能向攻擊者公開密碼,答案是否定的。
即使您的應用程序未使用SSL,也不會以純文本傳輸密碼。身份驗證開始後,用戶將被重定向到google.com上的安全頁面以輸入其憑據。憑證通過SSL發佈,如果身份驗證成功,Google會生成一個身份驗證令牌,該令牌會傳回您的應用並存儲在Cookie中。用戶API使內部RPC將該令牌解析回Google憑證。
攻擊者可以做的最多的事情是攔截身份驗證令牌並在令牌有效期內欺騙用戶(默認情況下爲1天;最多可配置爲2周)。他們永遠無法訪問密碼。爲防止欺騙,您需要確保所有登錄的活動都發生在HTTPS上,並且auth cookie永遠不會通過HTTP存儲。
+0
所以如果他們可以模仿我的網站上的谷歌用戶,並作出這樣的條目,這幾乎可以回答我的問題,謝謝 – khany
4
假設任何你發送HTTP上可以被攔截和攻擊者檢查。這包括您在瀏覽器中存儲的任何令牌以對其進行身份驗證 - 攻擊者也可以看到此消息,並用它來僞造請求。
如果這聽起來像您不需要擔心的「主題」漏洞,那麼您應該不會做任何涉及保護用戶數據的事情,除非您閱讀了FireSheep並瞭解它的工作原理以及如何工作防止類似的東西。 (這只是你需要了解的攻擊的一個例子,它不是唯一可能的攻擊)。
總之,這樣的設置的弱點在於你使用http發送任何東西想保持私密。
相關問題
- 1. HTTP請求安全嗎?
- 2. utf-8對http安全嗎?
- 3. 谷歌的AppEngine URL安全
- 4. Concurrent Async HTTP Post:值線程安全嗎?
- 5. Ruby的Net :: HTTP線程安全嗎?
- 6. 是Http Web請求安全嗎?
- 7. 春天+ Appengine我不能使用彈簧安全嗎?
- 8. 不安全和安全的HTTP
- 9. 安全:http在spring安全配置?
- 10. Django HTTP GET安全
- 11. HTTP POST URL安全
- 12. AppEngine安全約束URL模式
- 13. 從AppEngine ImagesService生成安全(https)URL
- 14. Google Appengine部署安全問題
- 15. JQuery安全嗎?
- 16. TempData:安全嗎?
- 17. CustomView安全嗎?
- 18. FormsAuthentication:安全嗎?
- 19. 「User.Identity.Name」安全嗎?
- 20. pramid.security.remember安全嗎?
- 21. Flex:removeEventListener安全嗎?
- 22. PHP:filter_var安全性足夠安全嗎?
- 23. 網絡安全 - url參數安全嗎?
- 24. 緩存安全信息安全嗎?
- 25. java線程安全:線程安全嗎?
- 26. 安全嗎?覆蓋apache2 index.php的安全
- 27. csrf安全塊http請求
- 28. WCF安全,TCP或HTTP?
- 29. 安全重定向到http
- 30. Android:Mysql,php,json,http和安全
認爲這取決於您的應用程序編碼我會懷疑。 – bdavenport
@MindlessTux您需要對我更具體,才能正確評估您的評論。謝謝。 – khany