¿Es segura la herramienta estadística en Heroku con el matraz?

Navega tus respuestas
0

Estoy trabajando en una herramienta estadística para nuestra empresa, millones de conjuntos de datos. Ahora necesito cargar el proyecto, para que todos los miembros de la empresa puedan solicitar datos de cualquier lugar.

Estoy trabajando con Python 3 / Flask y planeo subir el proyecto en heroku.

Heroku ofrece por defecto un certificado SSL (no planeo usar un dominio personalizado).

Además, integré Flask-BasicAuth . Funciona bien en localhost, solo se puede acceder al sitio web si se conocen el nombre de usuario y la contraseña.

También uso Flask-WTF y un token CRSF en el formulario. Después del envío, que es obligatorio, solicito diferentes estadísticas a través de AJAX.

  1. El usuario ingresa a un daterange
  2. El usuario envía el formulario y se selecciona el conjunto de datos básico
  3. Se solicitan diferentes estadísticas a través de AJAX POST

El paso 3. significa que tengo muchas rutas, que solo aceptan un método POST y devuelven un objeto JSON .

Los miembros de la compañía DEBEN acceder a esta herramienta, ya que se pueden solicitar y ver datos importantes. ¿Mi enfoque suena razonable?

    
pregunta Roman 26.10.2018 - 12:14
fuente

1 respuesta

1

La autenticación básica HTTP es propensa a ser forzada por la fuerza bruta. Flask-HTTPAuth con modo de resumen podría ser una mejor solución, pero también hay varios problemas de seguridad que deben resolverse, así como políticas adicionales de bloqueo y contraseña.

Otro enfoque es la integración con un proveedor de confianza de Oauth como Google . De esta manera, simplemente transfiere las responsabilidades relacionadas con la autenticación a un tercero en el que puede confiar, y podría ser mucho más fácil y confiable.

    
respondido por el odo 26.10.2018 - 14:33
fuente

Lea otras preguntas en las etiquetas

Si un host está infectado, ¿el entorno de sandbox está infectado? Reverse Shell Exploit para SquirrelMail 1.4.22 [cerrado]