java - 保护 Google App Engine 端点

Question

我目前对 Java 和开发 Android 应用程序还很陌生，我依赖 Google 了解我迄今为止为我的第一个应用程序所做的大部分工作。我目前正在使用 Eclipse 在我的应用程序上实现 Google App Engine。我能够编写后端 API 并为我的应用程序生成端点。我的应用程序能够进行正确的调用并从我的数据存储中检索信息。但是，我对后端在幕后的实际工作方式感到有点困惑，并且有点担心我的数据存储的安全性。

我的问题是:

1) 谁能够访问我的端点？到目前为止，我检查了 Google API Explorer，但看不到我的端点的任何方法。有人可以反编译我的 APK，找到我的应用程序 ID，并创建一个可以调用我的端点方法的应用程序吗？我知道我可以通过使用客户端 ID 等来保护它，但是如果有人能够伪造它，他们会获得对我的端点方法的访问权限吗？

2) 我的后端安全吗？有人能够真正阅读我后端的代码吗？我现在的假设是，我在 Eclipse 中编写并部署到 Google 的代码将在服务器上运行，而我的应用程序代码仅包含对它的调用。 (这似乎是一个愚蠢的问题，但我已经做了很多研究，但仍然找不到答案)。

-编辑- 我读了更多书，我相信只有拥有应用引擎管理权限的人才能下载和阅读代码。至于我的应用程序的后端，它只是一个扩展的 servlet。只有当他们的客户端 ID 与我设置的匹配时，某人才能访问这些方法。如果我错了请纠正我。

3) 是否只能根据我为后端编写的内容访问我的数据存储区？因此，例如，我有一个名为 getUser() 的函数，它从数据存储中获取有关用户的信息。有权访问我的后端的人是否只能使用方法 getUser()，而不能手动调用 datastore.get(userKey)(如果该人能够以某种方式获得 key )？

研究:

我研究了如何保护我的端点，目前正在研究使用客户端 ID 对端点方法进行身份验证。我还以只返回公共(public)信息而不返回私有(private)信息的方式编写了我的方法。我只是担心设法反编译我的应用程序并恢复其中所有信息的人将能够使用我的端点，或者更糟的是改变我的后端。我目前正在重新阅读 App Engine 后端的文档，但希望收到任何关于此事的意见。

感谢您的宝贵时间。

Answer 1

你的担心是对的。参见斯诺登泄密事件。以下是有根据的猜测，您可以尝试确认或驳回。如果答案很重要，您可能需要道德黑客的意见。

1) 攻击者有多种机会破坏您的客户端应用程序的安全性。我认为 APK 文件格式不会混淆您端点的 URL。 APK 文件可能以任何人都可以扩展的行业标准方式进行压缩。转储 APK 的可执行二进制内容将显示其文字字符串、端点名称等。通过揭示您的算法、所有方法的依赖关系图和关于它们的参数的元数据，反编译将更进一步。调试器可能可以单步执行并以字节码形式监视您的应用程序，而无需原始源代码。

恶意软件似乎比大多数人想象的更为普遍。受感染的设备可能会将您的所有应用程序流量泄漏到远程计算机进行分析，而攻击者的成本几乎为零。 Android 应用程序的发布相对容易，这使得该生态系统比 iOS 更容易受到攻击。所有其他已安装的应用程序都可能是您的敌人，尤其是在用户启用 root 权限的情况下。

最近发现的证书颁发机构受损、DNS 缓存损坏、冒名顶替者热点和中间计算机攻击表明，有动机的攻击者甚至可以在不访问客户端或服务器计算机的情况下记录您的特定 HTTPS 流量。然而，攻击者需要为每个受害者支付少量费用，因此只有当您的代码和数据被认为具有足够的值(value)时，您才会面临风险。

客户身份盗用或伪造的可能性很大。基本上，第 1) 项归结为通过模糊性实现的安全性，即最低限度的安全性，其破解成本可能很低。

2) 后端软件与您的 Google 帐户、自己的计算机和网络连接一样安全。因此非常安全 ;-)

3) 有两种方法可以访问您后端的数据:通过您实现的 API 和使用您的 Google 帐户通过管理控制台。主机商偷偷给别人留后门，对方自然不会承认。我相信当局有能力实现这一目标。如果我对我的应用程序及其数据真的很偏执，我会不信任每个平台。

综上所述，所有安全屏障都必须有条件地开放，没有安全是绝对的。通过在您的应用程序中使用显式安全代码，您可以希望将攻击速度减慢到攻击者的成本 yield 比使得在其他地方找到更容易的肉更有吸引力的程度。