WedX - журнал о программировании и компьютерных науках

Служба получения URL-адресов - защищен ли https или нет?

Я хотел бы использовать службу получения URL-адреса для механизма приложения (java). Я просто отправляю POST на один из своих серверов из сервлета.

AppEngine -> post-to: https://www.myotherserver.com/scripts/log.php

Я читаю документ по выборке URL:

Безопасные подключения и HTTPS
Приложение может получить URL-адрес с помощью метода HTTPS для подключения к защищенным серверам. Данные запросов и ответов передаются по сети в зашифрованном виде.

Прокси-сервер, который использует служба URL Fetch, не может аутентифицировать хост, с которым он связывается. Поскольку цепочки доверия сертификатов нет, прокси-сервер принимает все сертификаты, включая самозаверяющие сертификаты. Прокси-сервер не может обнаруживать атаки типа «человек посередине» между App Engine и удаленным хостом при использовании HTTPS.

Я не понимаю - первый абзац звучит так, будто все, что идет от сервлета в движке приложения до моего php-скрипта, будет безопасным, если я использую https. Второй абзац звучит как противоположное, что на самом деле это не будет безопасно. Что это?

Спасибо

google-app-engine
13.07.2010

Ответы:


1

Есть две вещи, которые HTTPS делает для вас. Один из них — зашифровать ваши данные, чтобы никто не мог их просмотреть, пока они путешествуют по Интернету, через различные маршрутизаторы и коммутаторы. Второе, что делает HTTPS, — это подтверждает, что вы действительно разговариваете с определенным сервером. Это та часть, которую App Engine не может сделать. Если вы пытались подключиться к www.myotherserver.com, вполне возможно, что какой-то плохой парень по имени Боб мог перехватить ваше соединение и выдать себя за www.myotherserver.com. Все, что вы отправляете Бобу, будет зашифровано на пути к Бобу, но сам Боб сможет получить незашифрованные данные.

В вашем случае это звучит так, как будто вы контролируете как сервер отправки, так и сервер назначения, поэтому вы можете зашифровать свои данные с помощью общего секрета для защиты от этой возможности.

13.07.2010
  • Хорошо, это имеет смысл, но тогда использование https с url fetch + app engine почти бессмысленно? (Просто любопытно, почему они вообще могут это предлагать). Итак, я понимаю, что вы говорите, я просто шифрую строки, которые хочу отправить сам, а затем могу расшифровать их на стороне php, где они получены, поскольку я контролирую обе конечные точки. Спасибо. 13.07.2010
  • Даже с ограничениями на аутентификацию https по-прежнему более безопасен, чем http. Атаку «человек посередине» выполнить сложнее, чем, например, простое обнюхивание. Кроме того, некоторые сервисы могут быть доступны только через https. 13.07.2010
  • Все знают, что плохим парнем является Ева, а не Боб! ;) 19.07.2010
  • @Nick теперь можно проверить сервер сертификатов 16.03.2011

    • 2

    UrlFetch через https был исправлено, разрешая проверку сервера сертификатов.

    validate_certificate
    Значение True указывает приложению отправлять запрос на сервер только в том случае, если сертификат действителен и подписан доверенным центром сертификации, а также включает имя хоста, соответствующее сертификату. Значение False указывает приложению не выполнять проверку сертификата. Значение None по умолчанию соответствует базовой реализации URL Fetch. Базовая реализация в настоящее время по умолчанию имеет значение False, но в ближайшем будущем по умолчанию будет установлено значение True.

    16.03.2011
    Новые материалы
    Как проанализировать работу вашего классификатора?
    Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..
    Работа с цепями Маркова, часть 4 (Машинное обучение)
    Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..
    Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]
    Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..
    Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter
    Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..
    Учебные заметки: создание моего первого пакета Node.js
    Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..
    Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!
    Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..
    ИИ в аэрокосмической отрасли
    Каждый полет – это шаг вперед к великой мечте. Чтобы это происходило в их собственном темпе, необходима команда астронавтов для погони за космосом и команда технического обслуживания..
    Для любых предложений по сайту: [email protected]