Я думаю о good ways to store third party credentials, что в основном означает, что где-то в секрете или в коде есть секрет. Я развертываю движок Google.Является ли мой механизм приложения google установленным исходным кодом безопасным?
Если «секрет» было что-то вроде
pw_passphrase = sha2(username + 'global-password')
pw_plaintext = aes_decrypt(pw_passphrase, pw_ciphertext)
я могу зависеть от этого кода не будучи замеченным лицом, не являющимся администратором Appengine?
... что, если учетные данные защищают нечто сверхчувственное, как личные финансовые данные, мы все еще доверяем ему?
(The SHA2 бит сменный с любым другим секретным pseudo-random function.)
не существует ** известный ** способ для несанкционированных третьих лиц заглянуть. –
Возможно, вам стоит упомянуть, что вы работаете в Google. – Teddy
@ Тедди, конечно, любой заинтересованный может проверить мой профиль Google, запись в Википедии, интервью и т. Д. - это вряд ли секрет ;-). Тем не менее, я всегда говорю только для себя и для себя (я не уполномочен говорить за Google и других фирм). @ Винько, конечно, нельзя «доказать отрицательный» (например, я не могу _prove_ NSA еще не взломал каждый существующий или еще не изобретенный код и регулярно отслеживает каждый бит каждую секунду; -). –