セキュリティの観点から、攻撃者が SECRET_KEY を知っている場合、何ができるでしょうか? 差し迫った危険はありますか?
1 に答える
3
さて、マニュアルから:
既知の SECRET_KEY で Django を実行すると、Django のセキュリティ保護の多くが無効になり、権限昇格やリモート コード実行の脆弱性につながる可能性があります。
それがどのようにしてそれらのことを行うことができるのか(つまり、秘密鍵がどのように使用されるのか正確にはわかりません)。おそらく、本人確認の問題につながる可能性があります。Django が実際にそれを使用して何らかの方法で https トランスポートを提供している場合、トラフィックを盗聴できる人なら誰でもトラフィックを復号化できます。
于 2012-11-04T19:26:48.017 に答える