開発用にdb:seedsにパスワードを使用してユーザーを作成するのが悪い考えかどうか知りたいですか?
1333 次
3 に答える
4
数は少ないですが、本番環境で「どういうわけか」忘れられて作成されることがあるため、これは一般的に悪い習慣です。ですから、それが知っておくべき最大のことです。優れたセキュリティとは、可能な限り多くのレイヤーと可能性に注意を払うことです。それは決して「見るべきもの」の問題ではありません。
警告が与えられました..私はそれがかなり大丈夫だと思います。開発とテストには、これらのユーザーが本当に必要です。したがって、次のことをお勧めします。
チケット追跡システムに今すぐチケットを入力してください。稼働する前に、そのようなアカウントの本番システムを確認します。
テストアカウントと開発アカウントでさえ、「password」、「abc123」、「change-me」などではなく、BIGmy2+catzのような実際のパスワードを持っている必要があります。
ソース管理でシードファイル(たとえば、gitの場合は.gitignore)を除外して、リモートサーバー上にも存在しないようにすることを検討してください。
ファイルの暗号化を検討してください。「必要に応じて」復号化し、使用後すぐに復号化したファイルを削除します。
コマンドを実行するときは注意して注意
rake db:seedし、現在のseeds.rbファイルの内容と、パブリックインターネットなどからデータを表示できる場所について慎重に検討してください。
結局のところ、それは常に次の矛盾する目標の間のバランスです。
データを保護および保護し、
開発者が多くのハードルなしで作業を行えるようにします。
于 2012-08-02T02:26:39.767 に答える
1
パスワードをクリアテキストで保存することは避け、リポジトリにコミットする必要があります。そうは言っても、このように考えてみてください。これらのユーザー名/パスワードをサイトで明確にブロードキャストすると、シードの一部として実行しない限り、何らかの損害が発生します(ダミーユーザーがシステムを見せびらかすとしましょう)。 。
于 2012-08-02T01:55:46.777 に答える
1
開発中ですよね?誰かがあなたの開発マシンにアクセスできますか?彼らはそれで何ができますか?大丈夫だと思います。シードは本番環境で実行しないでください。
于 2012-08-02T01:59:39.347 に答える