22
默认情况下,Django数据库主机/用户/密码以明文形式存储在项目settings.py文件中。数据库凭证以纯文本格式存储可以吗?
我似乎目前似乎没有想到更好的方法,但这似乎违背了密码存储的最佳实践。诚然,如果攻击者有权访问设置文件,那么所有文件可能已经丢失。即使该文件被加密,攻击者也可能有办法解密它。
这样好吗?
A
回答
22
你是对的。但您可以通过以下方式提高安全性:
正确设置权限(这取决于您的设置)。理想情况下,只有python应该能够读取文件。
将文件存储在
www或htdocs根之外。如果此时攻击者仍然可以访问它们,则无论如何都会被拧紧。为了增加安全性,您可以使用对称加密(例如:AES)加密连接设置。将密钥存储在其他地方。所以即使有人设法访问连接设置,他们仍然需要找到密钥。主要缺点是现在你必须重写连接方法。
2
是的,它是任何数据库通信程序的标准程序。真的没有一个“更好的方法”来做到这一点。
有几种方法可以帮助防止无效主机连接(IP表,私有IP地址),但实际的连接细节几乎总是纯文本。
将文件存储在Web根目录之外将有所帮助,但如果攻击者访问文件系统,则无关紧要。
12
的Twelve-Factor App通过的Heroku recommends
严格从代码配置的分离编纂。
这对于凭证的管理尤为重要,凭证的管理理想情况下不应该提交给源代码管理。
django-environ库提供了一个很好的方法来将settings.py文件中的大多数特定于环境的配置拉出来,但您可以通过使用标准os库引用最敏感的位来实现很长的路。 'PASSWORD': os.environ['DBPASS']
当然,你可能仍然会存储一些密码以纯文本地方,但如果该文件未嵌入代码库,这是不太可能被泄露。
相关问题
- 1. 纯文本vs数据库存储
- 2. SVN避免以纯文本格式存储密码?
- 3. 存储数据库连接凭证
- 4. 如何格式化数据,以便它可以存储在mysql数据库
- 5. 是否可以验证LDAP凭证而不将LDAP密码存储为纯文本
- 6. 我可以在java德比数据库中存储文本文件吗?
- 7. 将Google API凭证存储在数据库中。它安全吗?
- 8. 将演示数据存储在数据库中可以吗?
- 9. Can Meteor的Appcache也可以存储数据库数据吗?
- 10. 我们可以将数据以gzip格式存储在postgresql中
- 11. 可以普罗米修斯存储基本身份验证密码的任何格式,然后纯文本?
- 12. 从PostgreSQL的数据库中恢复一个表格,并以纯文本/文本格式保存
- 13. 以原始文本格式存储数据
- 14. AJAX可以提交基本身份验证的凭据吗?
- 15. Javascript:以纯文本格式打印html
- 16. 以纯文本格式识别URL
- 17. 存储巨大的数据;数据库,XML或纯文本?
- 18. 在进入数据库之前可以格式化数据吗?
- 19. 以树格式存储数据R
- 20. 什么数据库可以存储树?
- 21. 凭证 - 我可以这样做吗?
- 22. 硬编码凭证可以吗?
- 23. 我可以拆分Mercurial存储库吗?
- 24. 以XML格式存储数据安全吗?
- 25. MongoDB数据库可以存储在不同的目录中吗?
- 26. 如何以编程方式加密/解密JSP中的纯文本凭证?
- 27. 在MongoDB中以纯文本格式存储时查询日期YYYY-MM-DD
- 28. 以xml格式在数据库中存储soap xml响应
- 29. 本地存储数据可以放在HTTP标头中吗?
- 30. 返回PHP文件以纯文本格式,除了指数
有没有扩展/重写连接方法来处理加密的例子?而且,在unix环境中,如果盒子本身已经被破坏,是否有安全的地方可以保存这个密钥? – 2013-01-02 18:41:33