Sandbox AppEngine

Naviga le tue risposte
1

Qualcuno sa come viene implementata la sandbox AppEngine? Ho sentito che usano un SecurityManager con Java, ma sicuramente usano anche un altro layer come LXC. Ho esaminato la lista bianca e ci sono molte classi che:

  • comunemente usato nelle catene di exploit perché hanno difetti di sicurezza che Oracle si rifiuta di correggere (ScriptEngine)
  • ha avuto numerosi problemi di sicurezza di recente e ancora abbastanza sconosciuto (java.lang.invoke. *)
  • ha avuto problemi di sicurezza di recente e in passato (java.util.concurrent. *, javax.xml.transform.Templates)

Sono interessato a eseguire roba su appengine, ma se usano solo SecurityManager, penso che abbiano un grosso problema di sicurezza.

    
posta benmmurphy 17.05.2013 - 02:05
fonte

1 risposta

1

Penso che potrebbe essere d'aiuto con l'ultima parte della tua domanda se sottolineo che il punto principale della sicurezza di AppEngine in Python era la protezione di THEM, non degli Stati Uniti. Ho letto in precedenza un articolo che aveva alcune specifiche. A un certo punto, qualcuno ha specificamente affermato che le modifiche alla sicurezza di AppEngine dovevano impedire agli script dei clienti di danneggiare i sistemi host di Google. Fermare la malizia in generale nelle applicazioni inviate dai clienti o proteggere le applicazioni dei clienti dagli attacchi degli hacker era ancora un problema aperto e non risolto.

Mi aspetto che abbiano gli stessi obiettivi e limiti nel runtime Java.

    
risposta data 04.06.2013 - 05:04
fonte

Leggi altre domande sui tag

Ho bisogno di registrazione abilitata nelle mie regole in IPFW per sshguard-ipfw per funzionare / lista nera di ip? Isolamento del database? È possibile?