Qual è il rischio di condividere il client_secret.json in un repo pubblico?

0

Ho uno script python che scrive i dati in un file pubblico di google sheets e per usare l'API google sheets ho bisogno che un utente autorizzi il mio script. Voglio condividere la sceneggiatura con altri e quindi sto considerando di condividere anche il client_secret.json, ma sto lottando per capire i rischi per la sicurezza coinvolti in questo.

Per quanto comprendo OAuth2, fornendo client_secret.json il mio script si autentica da solo e quindi un utente autorizza lo script a scrivere dati per conto dell'utente, giusto?

Quindi, ho ragione, che la cosa peggiore che potrebbe accadere quando condivido il client_secret.json, è che qualcuno potrebbe sfruttare il mio servizio per scrivere dati in fogli (solo i suoi o in quelli pubblici) utilizzando la quota del mio script?

    
posta onoSendai 07.06.2018 - 09:40
fonte

1 risposta

0

Come l'utente @thehowch ha dichiarato e come ho capito l'intera procedura, il rischio principale di condividere un client_secret.json è quello di aprire un vettore di attacco per gli attacchi di phishing, poiché qualcuno potrebbe semplicemente copiare il client_secret e quindi presentarlo come un'autorità affidabile in cui gli utenti darebbero le loro autorizzazioni e quindi aprirebbero il loro disco google all'attaccante.

Anche l'utilizzo delle quote dell'API di Google verrebbe registrato nell'account del progetto google che possiede il client_secret. Quindi un utente malintenzionato potrebbe bloccare il nostro utilizzo esaurendo la quota. Ovviamente questo rischio non è nulla in confronto all'attacco di phishing. Proprio come un nodo laterale per motivi di completezza.

    
risposta data 12.06.2018 - 12:37
fonte

Leggi altre domande sui tag