Esas son preguntas muy generales, así que solo puedo dar una respuesta general. La seguridad se puede evaluar en el contexto de un modelo de amenaza concreto.
¿Alguien sabe si se realizó algún estudio sobre la seguridad de GAE en comparación con otros servidores para aplicaciones web?
enlace es una buena fuente de artículos científicos.
¿Cuáles diría que son las cadenas más débiles en la creación de una aplicación web en GAE y el manejo de información valiosa de los usuarios?
El vínculo débil típico de las aplicaciones web escritas por uno mismo es inyección de consulta , Cross Site Scripting y Cross Site Request Forgery .
Google admite un servicio de autenticación seguro que puede ser utilizado por los programas del motor de aplicaciones, lo que evita muchos errores comunes.
Por ejemplo, la aplicación web es tan segura como la contraseña del administrador web
Sí, como una cadena, el eslabón más débil define la seguridad general.
¿O puede haber otras medidas de seguridad para evitar que incluso los administradores accedan a la información de los usuarios almacenada con la aplicación?
Dado que el cifrado del lado del cliente no es factible para las aplicaciones web dirigidas a usuarios comunes, no hay forma de protegerse contra manipulaciones maliciosas de la aplicación web realizada por el administrador.
Además, significa que Google puede acceder a cualquier información que almacenes, ya que tienen acceso tanto al almacén de datos como al código de la aplicación (que podría tener claves de cifrado ocultas).
Especialmente el último punto es un gran problema, si las leyes de privacidad europeas se aplican a usted. Google se vio obligado a admitir que entregaron la información almacenada en Europa sobre ciudadanos europeos si Estados Unidos les preguntaba. El problema es que esta actividad ilegal (consulte caja verde ) por Google podría ser legal problemas para la persona o empresa que utiliza los Servicios de Google para alojar datos de clientes. Es responsabilidad de la empresa recopilar datos para garantizar que los proveedores de servicios contratados cumplan con la legislación europea. (No soy abogado, por lo que este párrafo es solo en la medida en que lo entiendo).