Quanto è sicuro il mio codice sorgente Heroku?

1

Uso Heroku per ospitare un piccolo numero di servizi. Voglio capire meglio le autorizzazioni di accesso ai file che sto inserendo nelle istanze di Heroku.

Prima di tutto, sono consapevole che sto trasferendo i miei dati a un'azienda esterna, e che è finita se attori cattivi riescono a infiltrarsi in Heroku o a hackerare il mio account utente individuale.

Con quello fuori mano, ho alcune domande:

  • Quanto è sicuro il codice sorgente dei microservizi che sto spingendo a un dyno Heroku? Se qualcun altro conosce l'URL della mia app, ad es. https://newbs-dyno.herokuapp.com , cosa possono fare? Gli utenti non autorizzati possono clonare il repository git sottostante? Possono vedere i contenuti (file e cartelle) che ho messo sul banco di prova?

  • Quanto sono memorizzate in modo sicuro le variabili di configurazione? Voglio usare vass config per memorizzare alcune credenziali, come descritto nella documentazione . Questa è una buona pratica?

Che cosa definisce quanto sono visibili o invisibili i contenuti del mio dino, incluse le variabili di configurazione? È corretto pensare al mio dyno come un'applicazione lato server che espone alcuni endpoint ben definiti?

    
posta Newb 09.02.2017 - 09:07
fonte

1 risposta

1

Heroku è una piattaforma come offerta di servizi, il tuo codice vivrà in contenitori virtuali, questo significa che è meglio isolato dagli altri contenitori che girano nello stesso server (parlando rigorosamente dell'accesso diretto ai file).

Il modo per memorizzare i segreti, come hai sottolineato , è utilizzare config vars . La documentazione di heroku lo specifica come modo sicuro:

A better solution is to use environment variables, and keep the keys out of the code. On a traditional host or working locally you can set environment vars in your bashrc file. On Heroku, you use config vars.

In realtà puoi tenere i file al di fuori della cartella pubblica specificando il documento Root della tua domanda. Questo imposterà la cartella dove il web server cercherà i tuoi file php. Il server Web rifiuterà l'accesso diretto a Internet ai file al di fuori della Document Root, il codice potrebbe ancora introdurre vulnerabilità che lo consentono, ma da un punto di vista della configurazione questa è la strada da percorrere.

    
risposta data 09.02.2017 - 16:45
fonte

Leggi altre domande sui tag