Djangoでデータベースの接続の際にsetting.pyにパスワードを入力する必要がありますがそのパスワードは隠すことはできないのですか?
また、セキュリティ的に大丈夫なのですか?
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答1件
0
ベストアンサー
セキュリティ的に大丈夫かという質問が外部から見られないかという意味であれば大丈夫です。隠す方法があるかどうかは知りませんが、この内容はアプリケーションからは読める必要があるので、サーバーに侵入されたらいずれバレてしまいます。なので、多くのソフトでこのような方法がとられています。
コメントいただいたポイントに対して、長くなるので追記として回答します。
このような方法を取っている場合は大丈夫というのはサーバーに侵入されてもばれないのですか?
少し理解できてないのでご教授お願いします。
サーバーに侵入された場合はばれます。なぜ、侵入されだ場合にバレやすい方法をとっているかというと、バレない(バレにくい)ようにすることが簡単ではないからです。
ウェブサーバーに脆弱性等で侵入された場合、侵入者はウェブアプリケーションと同じ権限を持ちます。なので、権限の工夫により「侵入者からは読めない」ように設定することはできません。
では、ドキュメントルート下ではない場所にファイルをおいたらよいと思われるかもしれませんが、侵入者はPythonのスクリプトを読むことができるので、設定ファイルの置き場所は比較的簡単に分かってしまいます。
暗号化したらどうかと思われるかもしれませんね。でも、その暗号を復号するための暗号鍵は、ウェブアプリケーションが使わなければならず、いずれの方法をとるにせよ、侵入者に隠すことはできません。
…ということで、できる工夫としては「難読化」というものがあります。これは端末側のアプリケーションではよく使われる方法です。具体的には、パスワードを平文ではおかず、複雑な演算を通して初めてパスワードが得られるというものです。
しかしながら、攻撃者はサーバー上のPythonスクリプトを入手することができるため、難読化のロジックを解くまでもなく、難読化を解くPythonスクリプトを動かすことにより容易に平文パスワードを得られます。
このように、「サーバー内でパスワードを隠すことは労力が掛かるわりに、得られる安全性があまりない」ことから、データベースのパスワードは平文で設定ファイルに書く場合が多いのです。
端末側のアプリケーションとは違い、サーバーに侵入されにくいようにすことは努力しだいである程度はできます。なので、サーバーに侵入されたら、まあ仕方ないと諦めているわけですね。
以上が理由ですが、これに納得できないのであれば、ぜひもっといい方法を考えて発表してください。画期的な方法であれば、有名人になるチャンスですよ!
投稿2017/11/19 07:53
編集2017/11/19 09:16総合スコア11701
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/11/19 08:02
2017/11/20 15:45