App Engine, OpenSSL и Heartbleed

Question

App Engine, OpenSSL и Heartbleed

Использовал ли GAE OpenSSL для своих серверов? Это довольно интересно в контексте дыры в безопасности Heartbleed. Было бы неплохо получить подтверждение от Google, что никаких рисков нет.

1

google-cloud-platform google-app-engine heartbleed

Источник

user3515350 09 апр '14 в 15:06

1 ответ

Другие вопросы по тегам google-cloud-platform google-app-engine heartbleed

Nik Graf 23 апр '14 в 14:16 2014-04-23 14:16 · Answer 1 · 2014-04-23 14:16

Как уже упоминалось в комментарии, по данным Google Online Security, пострадали App Engine.

Патч был написан, и я предполагаю, что он был применен к сервисам Google 21 марта, задолго до того, как уязвимость стала общедоступной.

Предполагая, что никто не знал об этой ошибке до 21 марта, никаких дальнейших действий не требуется. Поскольку вы не можете быть полностью уверены, что лучший способ обеспечить безопасное обслуживание - следовать этому контрольному списку.

Повторно выдать новые SSL-сертификаты для ваших доменов (см. Руководство здесь)
Измените свои пароли и отмените существующие сессии
Отзыв и воссоздание токенов доступа

Есть еще хорошие новости. App Engine поддерживает Forward Secrecy. Эта функция смягчает атаки, делая невозможным использование украденного ключа шифрования для чтения старых зашифрованных сообщений.