存档

文章标签 ‘GAE’

Google Apps的账户漏洞?

2010年12月25日 sigma 2 条评论 12,471 views

Google apps主要是面向企业的应用套件,可以减少企业,尤其是中小企业的运营成本,想要了解google apps的请移步http://www.google.com/apps/.

但我发现google apps丢失域名的话,有可能被别人获取管理员权限并且看到所有成员资料,包括所有Gmail,Doc,Calender,只要是属于google apps的服务,都能看到和更改。

发现过程是这样滴

  1. 前天,我在godaddy注册了新的域名sigma.me,为了让本博客绑到新域名上,我需要把域名加到我原来的google apps上,但是,加入的过程却碰到了如下的错误:This domain name has already been used as an alias or domain.看来,此域名已经被别人用过了。
  2. 于是,我想怎么才能证明我是这域名的新主人呢,于是搜了半天,搜到的结果大部分都是联系google客服,向他们出示域名属于你的证据,从而取回域名,但是这样据说周期会比较长,有可能需要半年。
  3. 我只好放弃了这条路,正在徘徊中,试着打开了对应的apps登陆页:https://www.google.com/a/sigma.me,在登陆下面发现了一个Can’t access your account?,于是尝试着点进去,发现有:If you are a domain administrator for sigma.me,Reset your administrator password
  4. 于是我尝试着点进去reset,但是发现要求提交原来的注册邮箱,这貌似没什么问题,但是惊喜在后面,填完验证码以后,有一段这样的话:

    We have sent instructions on how to reset your password to your domain’s secondary email address, which ends in: gmail.com.

    If you no longer have access to your domain’s secondary email address, there is a second option to reset your password. You can create an HTML file or CNAME record to verify that you own the domain name. Reset your administrator password by domain verification

  5. 原来,假如忘了原来的邮箱,还可以用域名验证来重置管理员密码,这正是我想要的!于是按流程走下去,会要求域名验证和填写一个接受重置密码的邮箱,一切完成后,会告诉你在两个工作日会把结果告诉你。我第二天就收到了重置邮件。

  6. 点进去,发现已经有个管理员登陆账号xxxx,并且Secondary email address已经是我的邮箱了。进入xxxx的inbox,进入发现还有之前的邮件(不过这人很幸运,只留下一封google官方2008年发的邮件),再看成员管理,能看到所有的成员。并且能看到管理员的一些资料,包括真实姓名,以及在GAE上的一些程序和所绑定的域名。其他什么doc也点了下,还好,这人什么也没留下。

我不知道这是否算一个漏洞,但是我总觉得他是非常可怕的。理由如下:

  1. 对于那些用免费域名申请的apps的用户,当你域名被收回后(比如臭名昭著的tk),你的google apps里面的数据不加以销毁的话,域名管理商可以获取你的管理员权限,新注册的用户也可以获取管理员权限并查看你的数据(其实不用收回,就可以通过域名验证来获取管理员权限)。
  2. 对于使用收费域名的用户,也存在同样的问题。这对一些中小企业后果会很严重。因为很多人中小企业选择google apps就是为了减少自己搭建内部邮件,ERP等服务器的成本。现在,你的内部邮件管理员权限将随时可能被域名注册商获取,你续费不及时的话,还会被新注册的用户获取。
  3. 在中国注册的域名,这就更可怕,由于xx监管,以及中国互联网的诚信状况。很可能,在一些势力的要求下,会要求域名注册商提供域名权限给政府,这样这些势力在需要的时候就获取目标用户或企业的管理员权限,并且查看内部邮件等资料。这也是很可怕的,这也许也是google要删除所有.cn注册apps的部分原因。

更深入的,这反映了云计算的一些问题,之前域名虽然是别人提供的,但数据在自己的服务器上,所以可以放心用,很安全。但现在,域名是别人的,数据也是在别人那的,并且要用别人的域名来验证你对数据的访问权,管理权,这就比较危险了(尤其是域名提供商不可靠的情况下)。

也许你会说google可以用其他方法来对权限认证,但貌似对于这类东西,也只能是域名作为最后的所属权的判断标准,毕竟有些人万一真的把自己的Secondary email address的把自己用户或密码忘了。

但愿google apps能够解决这个“漏洞”(假如google认为他是的话),也希望云计算能走的更远。因为我写这篇博客就正享受着google云计算(GAE)带给我的便利。

GAE被墙了,我的博客光荣的成为墙外一员(附用反向代理解决micolog/GAE解决被墙方法)

2010年12月9日 sigma 5 条评论 18,904 views

今天,我试着上了下我的在GAE上micolog的搭建的博客,发现貌似无法上了(显示time out),还以为是偶然现象。

到了晚上,在solidot看到说GAE被盾了,原来如此,看来不是偶然现象,是赤裸裸的阴谋!

GAE(Google App Engine)是Google于2008年提供的知名的云计算服务,用户可以上传Python程序和Java程序,免费使用谷歌的存储空间、带宽或CPU进行应用的开发等。现在GAE的域名 www.appspot.com 被关键字封锁,目前所有托管的项目程序均无法从中国访问。目前还不清楚这是否与个人利用GAE搭建私人代理服务器有关。

看来我GAE上搭建的博客终于也光荣的成为墙外一员了!!

但是我发现,倘若通过我的另外一个域名:www.debuglife.tk,却还可以访问,分析了下原因,感觉是因为我的域名用了反向代理的原因,因此再次说下如何使用反向代理解决基于反向代理的过程:

  1. 首先,需要注册一个域名,这大家都懂得,不像花钱的话,可以去dot.tk注册免费域名。
  2. 找一个反向代理服务,个人推荐www.you8g.com,注册并将你第一步的域名提交上去。
  3. 在google上注册企业套件,地址http://www.google.com/apps/intl/en/business/index.html,可以注册教育机构的,那是免费的,不过那需要国外的ip进行注册。
  4. 在企业套件管理面板或者GAE管理面板找到添加域名(add domain)选项,添加域名,可以参见http://donauya.spaces.live.com/blog/cns!F53B4DB2F7D1A8A1!131.entry?wa=wsignin1.0&sa=315075441
  5. 在你所申请的域名的域名管理(如dot.tk)中添加一个CNAME记录,指向你申请的代理服务器如:ghs.you8g.com

update 13/12/2010:

    貌似今天GAE又恢复了,看来真和颁奖日有关!

update 17/2/2011

发现现在you8g挂了,各位可以换到另外一个叫Chinasb的,地址是app.chinasb.org,具体方法类似,只是第五步要提前到第二步之前,因为chinasb会先验证dns记录。

update 17/2/2011

另外,可以使用一个免费的CDN Cloudflare实现反向代理,具体步骤:

1. 注册Cloudflare。

2. 将你需要CDN推送的域名添加到CloudFlare,然后将域名的dns服务器修改为CloudFlare指定的两组即可。

3. 在你的CloudFlare账户中,可以针对域名每一条A记录或者cname记录设置是否启用云CDN服务,如果不启用,也可以仅仅将CloudFlare当做免费域名dns服务器来使用。

Micolog 安装手记

2010年9月19日 sigma 没有评论 9,600 views

今晚无聊,突然想搞个独立博客,无奈没有独立空间,于是我想到了GAE

于是Google GAE ,blog,得到下面这篇文章

http://colin-young.appspot.com/?p=125001

我基本按那篇文章安装的,可是发现每次上传貌似都有一个Error,仔细一看,发现是应为我用的是colin的修改版,里面有个index.yaml有点问题,不仔细看,肯定发现不了151行多了一个tab

改好后发现基本就行了,上传完了要耐心等会,才会出现你所期待的网页

ps:GAE SDK所需要的python版本为2.5,2.6以上的貌似有点问题,3.x就更是了

btw:安装完后才发现这个网址貌似安装指南更好,并且是micolog的原版所在地

http://micolog.appspot.com/

分类: 未分类 标签: , , ,

无觅相关文章插件,快速提升流量