Sé el SECRET_KEY
para un sitio web realizado en Django. El propietario del sitio ha hecho accidentalmente el settings.py
público.
¿Cuáles son las implicaciones de hacer que SECRET_KEY sea público? ¿Cómo puede alguien usar esto para atacar el sistema?
De la documentación de Django, solo han mencionado lo que El SECRET_KEY se utiliza para:
La clave secreta se utiliza para:
- Todas las sesiones, si está utilizando cualquier otro backend de sesión que no sea django.contrib.sessions.backends.cache, o si está utilizando el
predeterminado. get_session_auth_hash ().- Todos los mensajes si está utilizando CookieStorage o FallbackStorage.
- Todos los tokens PasswordResetView.
- Cualquier uso de la firma criptográfica, a menos que se proporcione una clave diferente.