IT
gunicorn?
Size: a a a
2019 December 03
AI
Всем привет. Вопрос по части безопасности: почему везде рекомендуют хранить ключи и прочее в переменных окружения сервера через os.environ и родственные методы, а не в настройках проекта? Я не разбираюсь во взломе серверов, но мне кажется, если взлощик получил доступ к серверу, то он наверняка автоматически просто выгружает определнные папки и переменные окружения, чтобы потом разбираться, если ли ценное
A
Всем привет. Вопрос по части безопасности: почему везде рекомендуют хранить ключи и прочее в переменных окружения сервера через os.environ и родственные методы, а не в настройках проекта? Я не разбираюсь во взломе серверов, но мне кажется, если взлощик получил доступ к серверу, то он наверняка автоматически просто выгружает определнные папки и переменные окружения, чтобы потом разбираться, если ли ценное
кмк, переменные окужения нужны, если нескольким приложениям одна переменная нужна
A
у нас на проекте, например, все конфиги в yaml
AI
Это вопрос удобства, тут не спорю и понимаю. Но это рекомендуют именно в контексте безопасности
VY
Всем привет. Вопрос по части безопасности: почему везде рекомендуют хранить ключи и прочее в переменных окружения сервера через os.environ и родственные методы, а не в настройках проекта? Я не разбираюсь во взломе серверов, но мне кажется, если взлощик получил доступ к серверу, то он наверняка автоматически просто выгружает определнные папки и переменные окружения, чтобы потом разбираться, если ли ценное
Если пароли хранить в настройках ил коде, то есть вероятность что они уйдут вместе с кодом
AI
У меня проблема в проекте: есть многопользовательский проект, где надо хранить логин-пароль-токен для входа в другие сервисы, то есть нужно двусторонне шифрование. Но если мошенник получает доступ к серверу, скачивает окружение и проект, то он видит принцип шифрования
VY
Если в команде несколкьо программисов и продашн пароли прописаны в коде, то все кто клонирует себе реп, видят пароль. Соответсвенно пароли расходятся по системам разработчиков.
VY
У меня проблема в проекте: есть многопользовательский проект, где надо хранить логин-пароль-токен для входа в другие сервисы, то есть нужно двусторонне шифрование. Но если мошенник получает доступ к серверу, скачивает окружение и проект, то он видит принцип шифрования
Не совсем понял в чем проблема. Учетные данные пользователей это совсем другое. Они как правило хранятся в базе и пароль шифруется. При авторизации пароль сравнивается в шифрованном виде.
AI
Два сценарий: мы прописываем ключи жестко, рассылаем участникам, ключи есть у всех + в репе
второй вариант: ключи в окружени, в репе не светятся, но скидываем в группе чата или каждому лично, они копируют себе в код. То есть конечная разница только в том, что ключи не светятся в репе (с другой стороны, остаются в мессенджере)
второй вариант: ключи в окружени, в репе не светятся, но скидываем в группе чата или каждому лично, они копируют себе в код. То есть конечная разница только в том, что ключи не светятся в репе (с другой стороны, остаются в мессенджере)
AI
Мой вопрос был в том, есть ли какая-то волшебная таблетка для таких проблем )) Схема, которая позволит сохранить данные в порядке, даже если взломщик получит доступ к серверу
D
Мой вопрос был в том, есть ли какая-то волшебная таблетка для таких проблем )) Схема, которая позволит сохранить данные в порядке, даже если взломщик получит доступ к серверу
асимитричное шифрование
D
сервер подписывает для ключа, которым обладает пользователь. Но если пользователь потерял ключ, то данные не восстановить
Н
Мой вопрос был в том, есть ли какая-то волшебная таблетка для таких проблем )) Схема, которая позволит сохранить данные в порядке, даже если взломщик получит доступ к серверу
всякие хранилища секретов, авторизация по oauth
D
Мой вопрос был в том, есть ли какая-то волшебная таблетка для таких проблем )) Схема, которая позволит сохранить данные в порядке, даже если взломщик получит доступ к серверу
или речь о ключах к внешним сервисам, который лежит в secret_settings? Тогда хз, но думаю тоже можно gpg прилепить
VY
Мой вопрос был в том, есть ли какая-то волшебная таблетка для таких проблем )) Схема, которая позволит сохранить данные в порядке, даже если взломщик получит доступ к серверу
Я не понимаю о каких ключах идет речь. Если про API key. То можно сделать функционал который будет генерить ключ для пользователя и этот ключ будет храниться в базе. Если параноите по поводу его отрытости, то можно его зашифровать, и дешифровать при считывании. Алгоритмов полно
DT
AI
Еще вопрос: какой смысл держать БД удаленно? если взломщик получает доступ к серверу, то в настройках, опять же, видит данные юзера базы
AI
Наверное, единственный надежный способ защитить данные - разрешить вход в сервер строго из белого списка ip
VY
Что значит вход в сервер? Вход через ssh? Так то можно и к базе удаленно подключиться. Зная адрес порт логин и пароль.