答案已發布16 來源
Google Cloud API Key 刪除後仍可能繼續運作最多 23 分鐘
安全研究顯示 Google Cloud API key 刪除後仍可能繼續驗證請求 8 至 23 分鐘(中位數約 16 分鐘),造成憑證被盜後仍可短暫濫用嘅風險。[3][8] 原因係 Google 分散式基礎設施需要時間同步撤銷資訊,導致部分伺服器仍會暫時接受已刪除嘅 key。[8] 企業應假設刪除 API key 並非即時生效,並加強監控、限制 key 使用範圍及快速輪替憑證。[1][2]
1.2M0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
刪除 Google Cloud API key 並唔一定代表即時失效。安全公司 Aikido Security 發現,即使 key 已經喺 Google Cloud 控制台顯示為刪除,仍然可能喺幾分鐘內繼續成功驗證 API 請求,形成一個短暫但實際存在嘅安全窗口。
研究人員測試發現,已刪除嘅 key 仍可使用約 8 至 23 分鐘,中位數大約 16 分鐘,先會完全停止工作。
延遲撤銷點解會出現
問題主要來自 Google Cloud 嘅分散式系統架構。當 API key 被刪除後,撤銷資訊需要逐步同步到各個處理身份驗證嘅伺服器。
結果就係:
- 有些伺服器幾秒內已經拒絕該 key
- 但亦有部分伺服器會繼續接受請求
- 直到撤銷資訊完全同步為止
Aikido 透過反覆建立並刪除 API key,再持續發送驗證請求做測試。喺 10 次實驗 入面,最短撤銷時間約 8 分鐘,最長 23 分鐘,中位數約 16 分鐘。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「Google Cloud API Key 刪除後仍可能繼續運作最多 23 分鐘」的簡短答案是什麼?
安全研究顯示 Google Cloud API key 刪除後仍可能繼續驗證請求 8 至 23 分鐘(中位數約 16 分鐘),造成憑證被盜後仍可短暫濫用嘅風險。[3][8]
首先要驗證的關鍵點是什麼?
安全研究顯示 Google Cloud API key 刪除後仍可能繼續驗證請求 8 至 23 分鐘(中位數約 16 分鐘),造成憑證被盜後仍可短暫濫用嘅風險。[3][8] 原因係 Google 分散式基礎設施需要時間同步撤銷資訊,導致部分伺服器仍會暫時接受已刪除嘅 key。[8]
接下來在實務上我該做什麼?
企業應假設刪除 API key 並非即時生效,並加強監控、限制 key 使用範圍及快速輪替憑證。[1][2]
來源
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments