In-office Flask app sulla porta 80 - è sicuro? [chiuso]

0

Il titolo dice tutto; Sto solo servendo i dati ai colleghi come cortesia attraverso una serie di app a pagina singola che fondamentalmente ho consolidato sotto Flask, servendo i modelli Jinja. Attualmente, ho Apache in esecuzione, e ho appena rilasciato file HTML statici nel percorso. Ma questo prima di impiegare Flask o un motore di template e non sono disposto a lasciarlo crescere al punto che diventa più difficile da mantenere come un mucchio di HTML statico.

Quindi, per fare lo switch, posso configurare Apache per inoltrare richieste all'app Flask, o (b) semplicemente disattivare Apache, dire alla mia app Flask a app.run(host='0.0.0.0', port=80) e poi sudo python myApp.py , done e fatto.

Quindi questo è pericoloso? Non posso parlare del livello di sicurezza che il nostro amministratore di sistema impiega per impedire agli estranei di gironzolare intorno alla nostra rete locale, tranne che "esiste". La nostra LAN è considerata inaccessibile dall'esterno, ma sinceramente non so nulla di questo genere di cose. Mi sembra che se posso pubblicare su Stack Overflow da questo computer, Qualcuno da qualche parte può vedere la mia app in esecuzione e fare cose cattive. Capisco anche che questa sia la pratica meno preferita, soprattutto quando si suppone che una cosa sia pubblicamente disponibile, ma di nuovo, sono solo in ufficio qui, e se non devo scherzare con i file .conf di Apache allora Sono felice di lasciarli in pace e basta semplicemente disattivare Apache.

Mi sto preparando per un gigantesco errore di sicurezza, o va bene in questo contesto?

    
posta Stick 22.07.2013 - 18:19
fonte

1 risposta

1

Non possiamo verificare i controlli di sicurezza imposti dall'applicazione, ma solo alcune osservazioni riguardanti la configurazione:

  • Se si richiede un nome utente e una password, è necessario richiedere SSL. Questo certificato può essere firmato dalla CA della tua azienda o da una CA ufficiale. Questo per assicurarti che le tue credenziali dei dipendenti (o le tue) rimangano al sicuro.
  • sudo myapp.py = > Grande no no qui, in genere non ci sono buoni motivi per eseguire la tua app come root. Dovresti creare un utente che non può accedere ed eseguirlo sotto il suo nome. Questo utente deve disporre solo di diritti sufficienti per eseguire l'applicazione ed eseguire determinate manipolazioni di file (ad esempio scrivere in una determinata cartella / file di registro) e nient'altro.
risposta data 22.07.2013 - 18:47
fonte

Leggi altre domande sui tag