|
|
1 回复 | 直到 6 年前
|
1
1
从统计学上讲,你在内存中保存敏感信息的时间越长,一个坏演员就越容易得到它。但你永远无法真正消除这种可能性。问题是这个坏演员是如何进入云功能的。一旦有可能,你就有麻烦了。这可以通过将第三方代码信任到您的部署中,或者有人获得您项目的管理凭据,或者Google的安全漏洞来实现。 但是,如果你假设不可能有一个坏的参与者进入系统,那么你在内存中保留某个东西多久其实并不重要,因为你信任可以访问它的每一个代码位(当然还有谷歌提供的内存)。 内存不是严格按“每个函数”保存的。它将保持“每个函数每个实例”。根据负载的不同,可以有许多服务器实例都在解密和保存敏感信息。但是实例上运行的代码只会从一个函数触发,而不会从其他函数触发。 以这种方式在内存中缓存API密钥确实会使更改API密钥变得更加复杂,如果您必须快速更改它们,即由于泄漏-一种解决方法可能是还将时间戳存储在全局变量中,并在经过x个时间量后使密钥无效,或者重新启动所有函数,以便清除内存缓存并使其保持新鲜获取API密钥的版本,如果将新版本的函数推送到Google云函数,就会发生这种情况 |
推荐文章
|
Kortus · 如何监控是否为特定用户创建了新文档 2 年前 |
|
|
giroprotagonist · 部署Firebase Typescript函数错误;解组package.json:json:无法将bool解组到Go结构字段PackageJSON.devDependencies 2 年前 |
|
|
Jo E. · 函数目录中的Firebase部署特定目录 7 年前 |
|
|
Padawan · Firebase事务返回null并完成,无错误 7 年前 |