App Engine,OpenSSL和Heartbleed

GAE曾经使用过OpenSSL作为其前端服务器吗? 在Heartbleed安全漏洞的背景下,这很有趣。 从Google获得确认没有风险是很好的。

正如在Google在线安全博客中评论的那样,App Engine受到了影响。

我们已经编写了一个补丁程序,并假设在漏洞公布之前很久,3月21日我就会​​将其应用到Google服务中。

假设3月21日之前没有人知道这个bug,那么就不需要采取进一步措施。 既然你不能完全确定确保安全服务的最好方法就是遵循这个清单。

  • 为您的域名重新颁发新的SSL证书( 在此处查找指南)
  • 更改密码并撤销现有会话
  • 撤销并重新创build访问令牌

还有更多好消息。 App Engine支持正向保密。 此function通过使不可能使用偷来的encryption密钥来读取旧的encryption通信来减轻攻击。