我的 Google App Engine 部署源代码安全吗?
我在考虑如何妥善存储第三方的凭证,这基本上就是需要在某个地方保留一个秘密,不管是放在代码里还是数据里。我是在谷歌应用引擎上部署的。
如果这个“秘密”像这样:
pw_passphrase = sha2(username + 'global-password')
pw_plaintext = aes_decrypt(pw_passphrase, pw_ciphertext)
我能否相信这段代码不会被非应用引擎管理员看到呢?
...如果这些凭证保护的是一些非常敏感的信息,比如个人财务数据,我们还可以信任它吗?
(这里提到的sha2可以用任何其他的秘密伪随机函数来替代。)
2 个回答
2
还要记得在你的代码中处理异常,也就是出错的时候显示一个错误页面。否则,如果出现了错误,可能会让没有权限的用户看到你的源代码。
4
是的,你的源代码是安全的(安全程度和谷歌能做到的一样),没有办法让未经授权的第三方偷看。