Queste sono domande molto generali, quindi posso solo dare una risposta generale. La sicurezza può essere valutata nel contesto di un modello di minaccia concreto.
Does anyone know if there was any study done on the security of GAE in comparison to other servers for web apps?
Il link è una buona fonte di articoli scientifici.
What would you say are the most likely weak chains in creating a web app on GAE an handling users' valuable information?
Il tipico anello debole delle applicazioni web autodefinite è query injection , Cross Site Scripting e Cross Site Request Forgery .
Google supporta un servizio di autenticazione sicuro che può essere utilizzato dai programmi del motore di app, il che impedisce molti errori comuni.
For example, is the web app only as secure as the web admin's password
Sì, come una catena, il collegamento più debole definisce la sicurezza generale.
Or can there be some other security measures in place to prevent even the admins from accessing users' information stored with the app?
Poiché la crittografia lato client non è fattibile per le applicazioni Web destinate agli utenti ordinari, non c'è modo di proteggere da manipolazioni dannose dell'applicazione Web eseguite dall'amministratore.
Inoltre, significa che tutte le informazioni memorizzate sono accessibili da Google, dato che hanno entrambi accesso all'archivio dati e al codice dell'applicazione (che potrebbe avere le chiavi di crittografia nascoste).
Soprattutto l'ultimo punto è un problema enorme, se le leggi sulla privacy europee si applicano a voi. Google è stata costretta ad ammettere di aver trasferito le informazioni archiviate in Europa sui cittadini europei, se richiesto dagli Stati Uniti. Il problema è che questa attività illegale (vedi riquadro verde ) di Google potrebbe causare problemi legali problemi per la persona o l'azienda che utilizza i Servizi Google per ospitare i dati dei clienti. È responsabilità dell'azienda raccogliere i dati per garantire che i fornitori di servizi stipulati siano conformi alla legislazione europea. (Non sono un avvocato, quindi questo paragrafo è solo per quanto ho capito).