GAE a-t-il déjà utilisé OpenSSL pour ses serveurs frontaux ? C'est assez intéressant dans le contexte de la faille de sécurité Heartbleed . Ce serait bien d'obtenir une confirmation de Google qu'il n'y a pas de risques.
Réponse
Trop de publicités?
Nik Graf
Points
111
Comme déjà mentionné dans le commentaire selon le Google Online Security Blog App Engine a été affecté.
A patch a été écrit et je suppose qu'il a été appliqué aux services de Google le 21 mars, bien avant que la vulnérabilité ne soit rendue publique.
En supposant que personne ne connaissait ce bogue avant le 21 mars, aucune autre mesure n'est nécessaire. Comme vous ne pouvez pas être totalement sûr, la meilleure façon de garantir un service sécurisé est de suivre cette liste de contrôle.
- Ré-émettre de nouveaux certificats SSL pour vos domaines (trouver un guide aquí )
- Changez vos mots de passe et révoquez les sessions existantes
- Révoquer et recréer des jetons d'accès
Il y a d'autres bonnes nouvelles. App Engine supporte le Forward Secrecy. Cette fonction atténue les attaques en rendant impossible l'utilisation d'une clé de chiffrement volée pour lire une ancienne communication chiffrée.
