Hosting strumento di statistica su heroku con pallone sicuro?

Naviga le tue risposte
0

Sto lavorando a uno strumento di statistica per la nostra azienda, milioni di set di dati. Ora ho bisogno di caricare il progetto, in modo che tutti i membri dell'azienda possano richiedere dati da qualsiasi luogo.

Sto lavorando con Python 3 / Flask e ho intenzione di caricare il progetto su heroku.

Heroku offre di default un certificato SSL (non ho intenzione di utilizzare un dominio personalizzato).

Inoltre ho integrato Flask-BasicAuth . Funziona su localhost bene, si può accedere al sito solo se il nome utente e la password sono noti.

Uso anche Flask-WTF e un token CRSF nel modulo. Dopo la submission from, che è un must, richiedo statistiche diverse via AJAX.

  1. L'utente inserisce una daterange
  2. L'utente invia il modulo e il set di dati di base è selezionato
  3. Sono richieste statistiche diverse tramite AJAX POST

Il passaggio 3. significa che ho molti percorsi, che accettano solo un metodo POST e restituiscono un oggetto JSON .

Questo strumento DEVE essere accessibile solo dai membri dell'azienda, poiché è possibile richiedere e visualizzare dati importanti. Il mio approccio sembra ragionevole?

    
posta Roman 26.10.2018 - 12:14
fonte

1 risposta

1

L'autenticazione di base HTTP è soggetta ad essere bruta. Flask-HTTPAuth con modalità digest potrebbe essere una soluzione migliore, ma ci sono anche diversi problemi di sicurezza da risolvere, oltre a criteri aggiuntivi per password e blocco.

Un altro approccio è l'integrazione con il provider Oauth di fiducia come Google . In questo modo trasferisci le responsabilità relative all'autenticazione a terze parti di cui ti puoi fidare, e potrebbe essere molto più semplice e affidabile.

    
risposta data 26.10.2018 - 14:33
fonte

Leggi altre domande sui tag

Reverse Shell Exploit per SquirrelMail 1.4.22 [chiuso] Caratteri dispari - inclusa una barra rovesciata - nel campo del nome 1 della traccia di magstripe?