Основной вопрос безопасности Python CGI: хранение конфиденциальной информации в другом каталоге

Question

Итак, я разрабатывал свой первый сайт.У меня есть скрипт cgi, который позволяет пользователям подписываться на обновления по электронной почте.Однако я не доверяю безопасности cgi-bin с помощью API-ключа, который я использую, чтобы подписать людей на список рассылки.Поэтому я поместил api-ключ в другую домашнюю папку с chmod 711 в каталог (в отличие от 755 в каталоге cgi-bin).Затем я импортирую API-ключ в скрипт Python CGI.Что-то вроде:

sys.append.path("/home/otherfolder")
import apikeyfile

На самом ли деле это обеспечивает дополнительную безопасность моему скрипту?Есть ли что-то еще, что я должен делать вместо этого?

Answer 1

Это хорошая идея. chmod 500 лучше в этом случае. Правило th Вы должны иметь максимально ограничивающие привилегии. Имейте в виду, что ваше приложение может быть взломано, и тогда вы не хотите, чтобы ваше приложение писало само. (если это не слишком ...)

Answer 2

Это не вопрос Python (тот факт, что вы используете Python совершенно случайно), но ответ таков: да, это хорошая идея, чтобы ваши конфиденциальные данные были в месте, где ваш веб-сервер не может , даже если он настроен неправильно, отправьте его злоумышленнику. Таким образом, вне какой-либо иерархии каталогов находятся ваши веб-документы и скрипты. Злоумышленник не остановит работу, если он рутирует ваш сервер, но многие эксплойты не требуют рута, и поэтому создают так много препятствий на пути хакера. по возможности считается хорошей практикой. (Это называется «глубокоэшелонированной защитой» по соображениям безопасности сети.)