Ho pensato di utilizzare Google App Engine per alcuni progetti di hobby. Sebbene non gestiscano dati sensibili, mi piacerebbe comunque renderli relativamente sicuri per una serie di motivi, come l'apprendimento della sicurezza, legale, ecc.Quali problemi di sicurezza devono essere risolti quando si lavora con Google App Engine?
Quali problemi di sicurezza devono essere risolti quando si lavora con Google App Engine?
Sono gli stessi problemi affrontati da altre applicazioni, ad esempio applicazioni scritte in altre lingue o ospitate in altri modi?
Modifica: ho eseguito alcune ricerche sembra che sia necessario disinfettare l'input per XSS and Injection. Quali sono le altre cose da considerare?
Grazie per l'ottima informazione, questo è il genere di cose che stavo cercando. Ci sono altre vulnerabilità che devono essere considerate? – Ocimus
Beh, certo, dipende da quello che stai facendo, vero? Se permetti alle persone di inviare link, è meglio controllare che l'URL sia uno schema noto come "http" e non "javascript" ... se si autorizzano i caricamenti di file è meglio salvarli con un nome sicuro e non uno inviato dall'utente ... non serve i file inviati dall'utente dal tuo hostname principale ... non utilizzare i dati inviati dall'utente in un comando 'system' o' eval' ... ecc. ecc. – bobince
In pratica Gli attacchi di GQL injection sono quasi impossibili anche se il tuo codice è abbastanza orribile, dal momento che l'attacker si limiterà ad aggiungere ulteriori criteri a un'istruzione SELECT. Questo non vuol dire che non si dovrebbe usare il binding di parametri, ma non è un problema serio come con SQL. – geoffspear