¿Cuáles son las implicaciones de hacer público Djangos SECRET_KEY?

Navega tus respuestas
3

Sé el SECRET_KEY para un sitio web realizado en Django. El propietario del sitio ha hecho accidentalmente el settings.py público.

¿Cuáles son las implicaciones de hacer que SECRET_KEY sea público? ¿Cómo puede alguien usar esto para atacar el sistema?

De la documentación de Django, solo han mencionado lo que  El SECRET_KEY se utiliza para:

  

La clave secreta se utiliza para:

     
  1. Todas las sesiones, si está utilizando cualquier otro backend de sesión que no sea django.contrib.sessions.backends.cache, o si está utilizando el
    predeterminado.   get_session_auth_hash ().
    2.   
  2. Todos los mensajes si está utilizando CookieStorage   o FallbackStorage.
    3.   
  3. Todos los tokens PasswordResetView.
    4.   
  4. Cualquier uso de la firma criptográfica, a menos que se proporcione una clave diferente.
    5.   
    
pregunta abybaddi009 07.02.2018 - 10:07
fuente

2 respuestas

1

Puede reportarlo al propietario o al equipo de seguridad. Cortésmente pidiéndoles que cambien la configuración. Puede proporcionarles la documentación correcta y también puede sugerir la configuración adecuada. Les estás haciendo un favor, pero la respuesta que recibas depende de la persona en el otro extremo. No van a presentar un caso en su contra, si no les ha hecho ningún daño.

    
respondido por el Navi 07.02.2018 - 12:38
fuente
0

No contaría con su amabilidad y usaría Tor. Configure la cuenta de correo electrónico y utilícela para informar de ese hecho pero solo sobre Tor. Nunca se sabe qué tipo de personas están del otro lado.

    
respondido por el Aria 07.02.2018 - 12:54
fuente

Lea otras preguntas en las etiquetas

¿La función para compartir el número de teléfono del bot de Telegram es una manera suficiente de autenticar a un usuario? Almacene oAuth básico para una sesión en un sitio web