Q&A
なぜそもそもサーバー上にパスワード情報を置いておく必要があるのでしょうか。
前提・実現したいこと
サーバーの知識があまりないので初歩的なことを聞いてしまうかもしれませんがご了承ください。
やりたいことは「Herokuを使ってアップロードしたpythonのプログラムを定期的に実行させる」ということです。
このプログラムは自分しか使わない予定なのでアップロードしたプログラムは出来る限り人の目には触れさせないようにしたいです。
聞きたいこと
スクリプトでは同じフォルダ内の隠しファイルからパスワード情報を取得しているのですがこのままサーバーにファイルをアップロードするのは危険でしょうか? もし危険ならパスワード情報が必要な場合どのように取得するべきなのか教えていただきたいです。またパスワード情報だけではなくOAuth認証をするためにcredentialsファイルも扱っているのでその点も考慮してお願いします。
隠しファイルと思ってるだけで別に隠れてません
pythonのプログラムの最初の方に何かしら認証かける処理突っ込んではどうでしょうか
m.ts10806>サーバーにパスワード情報を置こうと思ったのはパスワードや隠したいファイルから情報を入手する方法がそれしか思いつかなかったからです。このような場合なにか一般的な方法があるのでしょうか?
hentaiman>やっぱり隠しファイルってそれほど安全じゃないですよね。なるほどpythonのプログラムの最初の方に何かしら認証かける処理ですか。調べてみます。
「データベース」もしくは「プログラム内」もしくは「設定ファイル」
要件次第で幾らでもあるかと思います。
要件が不明瞭なところがあるので「一般的な」方法も提示しづらいのです。
回答2件
ベストアンサー
回答ありがとうございます。試してみます。一度見られたくないファイルをサーバーにアップロードして環境変数にそのファイルのパスを入れると思うのですがそのアップロードしたファイルを第三者が見ることは可能でしょうか?
まず質問者が認識を改めなければいけない点として、サーバーから見れば質問者からのアクセスも第三者からのアクセスと変わらない扱いという事です
第三者からのアクセスを拒否するという事は、質問者からのアクセスも拒否するという事です
それを理解すれば、質問修正欄で書いた「プログラムでアクセス制限する」と言った意味が分かるはず
そしてこの回答はパスワードやその他秘匿したい情報をべた書きしないで済む方法を教えているだけなので、それで対処仕切れない内容なら別途方法を検討するしかありません
うーん、サーバーの仕組みがよくわからないのですがやりたいことは定期的にpythonファイルを実行してもらいたいだけなんです。サーバーを管理するサイトへのログインはherokuが管理してくれているので今懸念しているのはサーバーにファイルをアップロードするとそのファイルは誰でも見れてしまうのではないか、ということです。自分を含めてサーバーを管理するためのサイトへログインする以外ファイルを見られないようにしたいんです。
調べた結果この方法がいいみたいなのでベストアンサーにさせていただきました。解決には以下のサイトを参考にしました。
https://qiita.com/Doarakko/items/959497813427ada79c29
0
このプログラムは自分しか使わない予定なので
ブラウザから直接アクセスできない場所ならまだ良いかもしれませんが、
「自分しか使わない」ならサーバー自体を非公開にしてはどうでしょう。
投稿2020/10/12 02:09
総合スコア80875
なるほどサーバーを非公開にすることができるのですか。勉強になります。時間ができたらHerokuでもそれができるか試してみます。
今回の場合は非公開でいいのですが一般的にパスワードってどういう風に管理するのが正解なんでしょうか?できれば知識として知っておきたいです
どのパスワードでも良いのですけど、パソコンのモニターに付箋で貼っておくようなことはしませんよね。
設定している人だけ知っておけば良いものです。
まぁ、そうですね。一番安全なのは使うたびにこちら側から入力することだと思います。
ですが、自動化となると毎回入力するのは都合が悪いです。理想的には事前にパスワードを人から見られないところに保存してスクリプト上ではその場所からパスワードをとるということをしたいです。パスワードだけだと何か方法はありそうですが今回のcredentialsファイルのように読まれたくないファイル自体を読み込まなければならない場合はどうでしょう?それらのファイルはどのような管理方法をすればよいのでしょうか。
「隠しファイル」が本当に名前通り誰からも見られないファイルだったらよかったのですがね...本題の回答はいただいているので確認でき次第ベストアンサーにさせていただきたいと思います。上に書いた質問は興味で聞いただけです。
「何のパスワードか」「何を達成したいがための自動化の処理か」にもよるでしょうね。
回答にも近いのでこちらにも。
「データベース」もしくは「プログラム内」もしくは「設定ファイル」
要件次第で幾らでもあるかと思います。
要件が不明瞭なところがあるので「一般的な」方法も提示しづらいのです。
わかりました。ありがとうございます。
現在herokuアカウントを作りサーバーにプログラムをアップロードしようとしているのですがそもそも非公開というのがよくわかりませんでした。サーバーにファイルをアップロードした場合そのファイルは第三者によって閲覧可能でしょうか?
場所と読み方次第です。
herokuのことは詳しくはないですが、調べた感じロックをかけて限定公開するやり方があるようです。
他にもIP制限などやろうと思えばできないことはないのでは。
場所と読み方次第ですか...サーバーで定期的にpythonファイルを実行してもらいたいだけ(自分がブラウザからアクセスするということではなくローカルでつくって動かしていたpythonファイルを自動化したい)なんですけどこれでもサーバーにファイルをあげると誰かに見られてしまうんですかね?自動化だけが目的なので本当は誰からも見られないようにしたいんです。自分も見る必要はありません。
回答の冒頭に書いてあることをちょっと読み解いてもらいたいのですけど、
つまるところ「ブラウザからアクセスできる場所なら見ることは可能」です。
それが単なるファイルなら。
プログラムであれば実行結果、出力部分しかブラウザからは参照できませんが。
まぁいずれにしても心配ならサーバー上に置くという設計・仕様自体をみなすべきかと思います。
何を実行するものか知りませんが、そこまでして隠したいなら、そもそも他者に相談すること自体、「関係のない第三者から見られる脅威」のひとつになるのではないでしょうか。
つまり単にファイルを置いただけではブラウザからは見られることはないということですか?
やってみては。
あなたの回答
tips
プレビュー
