Question

Для git-репозитория, который используется совместно с другими, является ли это уязвимость, позволяющая раскрыть пароль вашей базы данных в файле settings.py? (Первоначально я думал, что нет, так как вам все еще нужен пароль ssh.)

Niklas B. · Answer 1 · 02 января 2012

Это зависит от того, кто имеет доступ для чтения к хранилищу, но, как правило, рекомендуется не вводить пароли в систему управления версиями.Вероятно, лучше поместить его в отдельный файл, такой как password.py, содержащий только пароль, например:

password = 'asdasd'

и import или execfile this в вашем settings.py.Затем вы можете добавить password.py к вашему .gitignore.

Todd · Answer 2 · 02 января 2012

Это предполагает, что ваша база данных доступна только с одного конкретного хоста, и даже тогда, почему вы хотите дать потенциальному злоумышленнику еще одну информацию? Предположим, вы развернули это на общем хосте, и у меня там есть учетная запись, и я могу подключиться к вашей базе данных, просто войдя в свою учетную запись в этом окне.

Кроме того, в зависимости от того, для кого вы пишете это, и какой аудит они должны пройти (PCI, аудит состояния и т. Д.), Это может быть просто недопустимо.

Я бы попытался найти способ проверить пароль.

Разоблачение паролей в Джанго

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Разоблачение паролей в Джанго

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов