Quali sono le implicazioni nel rendere pubblico SECRET_KEY di Djangos?

Naviga le tue risposte
3

Conosco il SECRET_KEY per un sito Web realizzato in Django. Il proprietario del sito ha accidentalmente reso pubblico settings.py .

Quali sono le implicazioni nel rendere pubblico SECRET_KEY? Come può qualcuno usarlo per attaccare il sistema?

Dalla documentazione di Django, hanno solo menzionato cosa  il SECRET_KEY è usato per:

The secret key is used for:

  1. All sessions if you are using any other session backend than django.contrib.sessions.backends.cache, or are using the default
    get_session_auth_hash().
  2. All messages if you are using CookieStorage or FallbackStorage.
  3. All PasswordResetView tokens.
  4. Any usage of cryptographic signing, unless a different key is provided.
    
posta abybaddi009 07.02.2018 - 10:07
fonte

2 risposte

1

Puoi segnalarlo al proprietario o al team di sicurezza. Chiedere gentilmente di cambiare le impostazioni. È possibile fornire loro la documentazione corretta e potrebbe anche suggerire le impostazioni corrette. Gli stai facendo un favore ma la risposta che ottieni dipende dalla persona dall'altra parte. Non hanno intenzione di sporgere denuncia nei tuoi confronti, se non li hai danneggiati.

    
risposta data 07.02.2018 - 12:38
fonte
0

Non conterei sulla loro gentilezza e userei Tor. Imposta l'account e-mail e usalo per segnalare questo fatto ma solo su Tor. Non sai mai che tipo di persone si trovano dall'altra parte.

    
risposta data 07.02.2018 - 12:54
fonte

Leggi altre domande sui tag

L'infrastruttura cloud di qualcun altro è troppo schematica per l'applicazione SaaS di grandi aziende? Potenziale Falsi positivi durante la scansione di una rete con Nexpose - Mancata corrispondenza del certificato X509 [chiuso]