GAE曾经使用过OpenSSL作为其前端服务器吗? 在Heartbleed安全漏洞的背景下,这很有趣。 从Google获得确认没有风险是很好的。
正如在Google在线安全博客中评论的那样,App Engine受到了影响。
我们已经编写了一个补丁程序,并假设在漏洞公布之前很久,3月21日我就会将其应用到Google服务中。
假设3月21日之前没有人知道这个bug,那么就不需要采取进一步措施。 既然你不能完全确定确保安全服务的最好方法就是遵循这个清单。
还有更多好消息。 App Engine支持正向保密。 此function通过使不可能使用偷来的encryption密钥来读取旧的encryption通信来减轻攻击。