Seguridad de Google App Engine

4

Estoy escribiendo una tesis magistral sobre la seguridad de ciertas aplicaciones y, como parte de ella, quiero escribir una aplicación web en Google App Engine y probar qué tan seguro es.

¿Alguien sabe si se realizó algún estudio sobre la seguridad de GAE en comparación con otros servidores para aplicaciones web?

¿Cuáles diría que son las cadenas más débiles en la creación de una aplicación web en GAE y el manejo de información valiosa de los usuarios? Por ejemplo, ¿es la aplicación web solo tan segura como la contraseña del administrador web, o puede haber otras medidas de seguridad para evitar que incluso los administradores accedan a la información de los usuarios almacenada con la aplicación?

    
pregunta ThePiachu 26.09.2011 - 22:59
fuente

3 respuestas

4

Esas son preguntas muy generales, así que solo puedo dar una respuesta general. La seguridad se puede evaluar en el contexto de un modelo de amenaza concreto.

  

¿Alguien sabe si se realizó algún estudio sobre la seguridad de GAE en comparación con otros servidores para aplicaciones web?

enlace es una buena fuente de artículos científicos.

  

¿Cuáles diría que son las cadenas más débiles en la creación de una aplicación web en GAE y el manejo de información valiosa de los usuarios?

El vínculo débil típico de las aplicaciones web escritas por uno mismo es inyección de consulta , Cross Site Scripting y Cross Site Request Forgery .

Google admite un servicio de autenticación seguro que puede ser utilizado por los programas del motor de aplicaciones, lo que evita muchos errores comunes.

  

Por ejemplo, la aplicación web es tan segura como la contraseña del administrador web

Sí, como una cadena, el eslabón más débil define la seguridad general.

  

¿O puede haber otras medidas de seguridad para evitar que incluso los administradores accedan a la información de los usuarios almacenada con la aplicación?

Dado que el cifrado del lado del cliente no es factible para las aplicaciones web dirigidas a usuarios comunes, no hay forma de protegerse contra manipulaciones maliciosas de la aplicación web realizada por el administrador.

Además, significa que Google puede acceder a cualquier información que almacenes, ya que tienen acceso tanto al almacén de datos como al código de la aplicación (que podría tener claves de cifrado ocultas).

Especialmente el último punto es un gran problema, si las leyes de privacidad europeas se aplican a usted. Google se vio obligado a admitir que entregaron la información almacenada en Europa sobre ciudadanos europeos si Estados Unidos les preguntaba. El problema es que esta actividad ilegal (consulte caja verde ) por Google podría ser legal problemas para la persona o empresa que utiliza los Servicios de Google para alojar datos de clientes. Es responsabilidad de la empresa recopilar datos para garantizar que los proveedores de servicios contratados cumplan con la legislación europea. (No soy abogado, por lo que este párrafo es solo en la medida en que lo entiendo).

    
respondido por el Hendrik Brummermann 27.09.2011 - 00:32
fuente
3
  

¿Alguien sabe si se realizó algún estudio sobre la seguridad de GAE en comparación con otros servidores para aplicaciones web?

Esta pregunta es demasiado amplia para responder. O, más bien, la respuesta es "depende". GAE le deja al desarrollador el marco de programación web que desea utilizar. La seguridad dependerá en gran medida del marco que elija el desarrollador, de qué prácticas de programación se utilizan, etc.

En términos generales, una ventaja potencial de "plataforma como servicio" es que significa que no es necesario que actúe como administrador del sistema para la granja de servidores web. En su lugar, lo terceriza a Google, que es bueno en eso. Esa es una forma en la que GAE es probablemente más seguro que ejecutar sus propios servidores web.

  

¿Puede haber otras medidas de seguridad para evitar que incluso los administradores accedan a la información de los usuarios almacenada con la aplicación?

Con GAE tal como está hoy, si el desarrollador de la aplicación GAE es malicioso, no hay forma de evitar que vean todos los datos del usuario. (Incluso si pensabas que tenías un mecanismo técnico para evitar esto, ¿cómo sabría el usuario si ese mecanismo se había aplicado? No podrían).

Por lo tanto, los usuarios solo deben compartir datos confidenciales con una aplicación GAE si confían en el desarrollador / propietario de esa aplicación. Este es prácticamente el mismo consejo que le daría sobre cualquier otro servicio web: los usuarios solo deben compartir datos confidenciales con un servicio web si confían en el desarrollador / propietario de ese servicio web.

    
respondido por el D.W. 27.09.2011 - 06:10
fuente
0

Hace unos meses realicé algunos experimentos de autoevaluación sobre la Autorización & La autenticación proporciona a través de GAE para su contenido utilizando la Lista de control de acceso basada en la cuenta de Google.

Y anotó los casos en los que todas las prácticas funcionan & escenarios (de contenido estático) en los que solo un mecanismo funciona debido a la forma en que se hace accesible desde los servidores de Google .

El estudio detallado de las experimentaciones se encuentra en enlace

~~~~~

Y, por lo que sé y he explorado a través de GAE ... es tan seguro como las credenciales de la cuenta de Google del propietario. Por lo tanto, los usuarios de GAE pueden querer ir a la autenticación de 2 factores.

    
respondido por el AbhishekKr 27.09.2011 - 07:02
fuente

Lea otras preguntas en las etiquetas