回答編集履歴

1

コメントで質問されたポイントに追記として回答しました

2017/11/19 09:16

投稿

ockeghem
ockeghem

スコア11701

test CHANGED
@@ -1 +1,45 @@
1
1
  セキュリティ的に大丈夫かという質問が外部から見られないかという意味であれば大丈夫です。隠す方法があるかどうかは知りませんが、この内容はアプリケーションからは読める必要があるので、サーバーに侵入されたらいずれバレてしまいます。なので、多くのソフトでこのような方法がとられています。
2
+
3
+
4
+
5
+ ---
6
+
7
+
8
+
9
+ コメントいただいたポイントに対して、長くなるので追記として回答します。
10
+
11
+
12
+
13
+ > このような方法を取っている場合は大丈夫というのはサーバーに侵入されてもばれないのですか?
14
+
15
+ 少し理解できてないのでご教授お願いします。
16
+
17
+
18
+
19
+ サーバーに侵入された場合はばれます。なぜ、侵入されだ場合にバレやすい方法をとっているかというと、バレない(バレにくい)ようにすることが簡単ではないからです。
20
+
21
+
22
+
23
+ ウェブサーバーに脆弱性等で侵入された場合、侵入者はウェブアプリケーションと同じ権限を持ちます。なので、権限の工夫により「侵入者からは読めない」ように設定することはできません。
24
+
25
+ では、ドキュメントルート下ではない場所にファイルをおいたらよいと思われるかもしれませんが、侵入者はPythonのスクリプトを読むことができるので、設定ファイルの置き場所は比較的簡単に分かってしまいます。
26
+
27
+
28
+
29
+ 暗号化したらどうかと思われるかもしれませんね。でも、その暗号を復号するための暗号鍵は、ウェブアプリケーションが使わなければならず、いずれの方法をとるにせよ、侵入者に隠すことはできません。
30
+
31
+
32
+
33
+ …ということで、できる工夫としては「難読化」というものがあります。これは端末側のアプリケーションではよく使われる方法です。具体的には、パスワードを平文ではおかず、複雑な演算を通して初めてパスワードが得られるというものです。
34
+
35
+ しかしながら、攻撃者はサーバー上のPythonスクリプトを入手することができるため、難読化のロジックを解くまでもなく、難読化を解くPythonスクリプトを動かすことにより容易に平文パスワードを得られます。
36
+
37
+
38
+
39
+ このように、「サーバー内でパスワードを隠すことは労力が掛かるわりに、得られる安全性があまりない」ことから、データベースのパスワードは平文で設定ファイルに書く場合が多いのです。
40
+
41
+ 端末側のアプリケーションとは違い、サーバーに侵入されにくいようにすことは努力しだいである程度はできます。なので、サーバーに侵入されたら、まあ仕方ないと諦めているわけですね。
42
+
43
+
44
+
45
+ 以上が理由ですが、これに納得できないのであれば、ぜひもっといい方法を考えて発表してください。画期的な方法であれば、有名人になるチャンスですよ!