Могу ли я жестко закодировать пароль, если у меня есть только 1 пользователь, для которого я могу вручную изменить код время от времени

Question

Я пытался выяснить, могут ли люди когда-либо жестко кодировать свои пароли для веб-приложений, которые на самом деле не имеют более одного пользователя, но еще не нашли ни одного.: «Приложение, использующее SSL, имеет одного пользователя, который может изменять код в любое время и развертывать в любое время»

Если у разработчика есть возможность изменить код и развернуть его по желанию, возникнет необходимость1. Зашифруйте пароль и 2. Сохраните этот пароль (или его хеш) в некоторых СУБД.?

Спасибо.

Answer 1

Обычно жесткое кодирование паролей - это плохая идея, но это действительно зависит от того, что вы делаете. Если вы создаете что-то полностью для своего собственного использования, которое развертывается только на вашем локальном компьютере и защищено от остального мира, тогда , что было бы разумным временем, чтобы не беспокоиться о правильной аутентификации. В противном случае вы, вероятно, захотите сделать все правильно.

Несколько вещей для размышления:

1. У кого есть доступ к источнику? Если кто-то, кроме разработчика, может видеть источник, то жесткое кодирование пароля будет A Bad Thing.
2. Какой ущерб может нанести неавторизованный пользователь? Если они могут нанести большой ущерб, не задавайте пароль жестко.
3. Доступно ли веб-приложение только с одного компьютера? Это может смягчить некоторые проблемы безопасности.
4. Является ли ваш единственный пользователь тем, кто может развернуть новый код? Если это так, вы можете не беспокоиться об аутентификации, поскольку этот пользователь может просто развернуть код, который не проверяет пароль.

Обычно довольно просто ввести правильную аутентификацию по паролю. Почти каждая инфраструктура веб-разработки включает в себя поддержку надежного хранения паролей (например, bcrypt), так почему бы не воспользоваться этим преимуществом?