pydriveシークレットはどこに保存しますか？

Raspberry Piがビデオフィードを保存するためにGoogleドライブにアクセスする必要がある場合、それはつまり、Raspberry PiがGoogleドライブにアクセスする必要があるため、Raspberry Piにアクセスできる人は誰でもGoogleドライブにアクセスできるということです。アプリケーションがドライブに直接アップロードできるようにすることも、攻撃者がアプリケーションの制御を取得した場合にドライブにアップロードすることもできないようにすることはできません。

ただし、すべてが失われるわけではありません。多くの最新のアプリエコシステム（Googleを含む）は、まさにこの種のもののために設計されています。ただし、認証がどのように機能し、正確に何をしているのかを理解するのに役立ちます。

OAuthクライアントID

pydriveでは、Googleドライブに直接アクセスするためのアクセス認証情報を作成する必要はありません。代わりに、OAuthクライアントIDを作成します。基本的に、これはGoogleに「アプリ」を登録していることを意味します（ただし、Playストアでの文字通りのアプリの意味ではありません）。 。このクライアントIDは、実際にはアカウントへのpydriveアクセスを付与するのではなく、単にこの「アプリ」の所有者として登録するだけです。

実際にアカウントにアクセスするために、pydriveはローカルでのログインプロセスを案内し、pydriveはgoogleからアカウントへのアクセスを要求します。これはWebブラウザーを介して行われます（そのため、pydriveはWebサーバーについて言及します）。次に、Googleはpydriveにアカウントへのアクセスを許可するかどうかを尋ねます。承認すると、Googleはpydriveにドライブへの実際のアクセスを許可する個別のアクセス認証情報を付与します。

それ以降、pydriveアプリケーションは、アカウントにアクセスできるアプリのリストの下のGoogleアカウントに表示されます。 このページ で、おそらくOAuthクライアントIDを作成したときにGoogleに提供したアプリケーション名の下にあることがわかります。

盗まれた資格情報

Piが盗まれた場合、理論的には攻撃者がドライブの内容をダンプし、pydriveが使用する実際のアカウント認証情報を保存した場所を見つけ、それらを使用して、アカウント（ただし、pydriveに付与したすべての特権を使用して-完全なGoogleアカウントではありません）。

幸いなことに、それが発生した場合の解決策は簡単です。任意のブラウザーでGoogleアカウントにログインし、アカウントにアクセスできるアプリのリストに移動して、pydriveからログアウトします。 OAuthクライアントIDがまだ利用可能であっても、攻撃者はメールとパスワードを使用して最初にGoogleにログインしないとアカウントに戻ることができませんが、明らかにそうではありません。

また、GoogleのAPIセクションに戻り、OAuth生成したクライアントIDを見つけて、それを取り消すこともできます。その時点では、攻撃者は何もしません。

概要

では、盗まれたRaspberry Piを持っている攻撃者がGoogleドライブの資格情報にアクセスして問題を引き起こす可能性がある時間帯はありますか？はい。ただし、Piが盗まれたかどうかがわかり、Piをリモートからすぐにログアウトして、それ以上のアクセスを防止できるため、この時間帯は実際には非常に短い可能性があります。