正如 Google 在线安全博客评论中所提到的,App Engine 受到了影响。
A修补我已经编写了该代码,并且我认为它早在 3 月 21 日就已应用于 Google 服务,远早于该漏洞被公开之前。
假设 3 月 21 日之前没有人知道这个错误,则无需采取进一步措施。由于您不能完全确定,确保安全服务的最佳方法是遵循此检查表。
- 为您的域名重新颁发新的 SSL 证书(查找指南这里)
- 更改密码并撤销现有会话
- 撤销并重新创建访问令牌
还有更多好消息。App Engine 支持前向保密。此功能使窃取的加密密钥无法读取旧的加密通信,从而减轻了攻击。