¿Cuál es el riesgo de compartir client_secret.json en un repositorio público?

Navega tus respuestas
0

Tengo una secuencia de comandos de Python que escribe datos en un archivo público de hojas de google y para usar la API de las hojas de Google necesito que un usuario autorice mi secuencia de comandos. Quiero compartir el script con otros y, por lo tanto, estoy considerando compartir también el client_secret.json, pero me cuesta entender los riesgos de seguridad involucrados en esto.

Según tengo entendido OAuth2, al proporcionar client_secret.json mi script se autentica a sí mismo y luego un usuario autoriza el script para escribir datos en nombre del usuario, ¿no?

Por lo tanto, estoy en lo cierto, que lo peor que podría pasar cuando compartiera client_secret.json, es que alguien explotaría mi servicio para escribir datos en hojas (solo las suyas o públicas) usando la cuota de mi guión?

    
pregunta onoSendai 07.06.2018 - 09:40
fuente

1 respuesta

0

Como dijo el usuario @thehowch y como entiendo todo el procedimiento, el principal riesgo de compartir un client_secret.json es abrir un vector de ataque para ataques de phishing, ya que alguien podría simplemente copiar el client_secret y luego presentarse. como una autoridad confiable donde los usuarios le darían sus autorizaciones y, por lo tanto, abrirían su unidad de Google al atacante.

También el uso de cuotas de la API de Google se registraría en la cuenta del proyecto de google que posee el client_secret. Por lo tanto, un atacante podría bloquear nuestro uso agotando la cuota. Por supuesto, este riesgo no es nada comparado con el ataque de phishing. Solo como un nodo lateral por el bien de la integridad.

    
respondido por el onoSendai 12.06.2018 - 12:37
fuente

Lea otras preguntas en las etiquetas

¿Cómo crear paquetes udp en ssrf sin Gopher o con dict? Permitir que el usuario ejecute un binario que lea la clave privada pero no la clave de lectura