web-dev-qa-db-ja.com

DjangosをSECRET_KEYに公開するとどうなりますか?

Djangoで作成したWebサイトのSECRET_KEYを知っています。サイトの所有者が誤ってsettings.pyを公開しました。

SECRET_KEYを公開するとどうなりますか?これを使用してシステムを攻撃する方法を教えてください。

Djangoの公式 documentation から、SECRET_KEYが何に使用されるかについてのみ言及されています。

秘密鍵は次の目的で使用されます。

  1. Django.contrib.sessions.backends.cache以外のセッションバックエンドを使用している場合、またはデフォルトを使用している場合は、すべてのセッション
    get_session_auth_hash()。
  2. CookieStorageまたはFallbackStorageを使用している場合のすべてのメッセージ。
  3. すべてのPasswordResetViewトークン。
  4. 異なるキーが提供されない限り、暗号署名の使用。
pythondjango
4
abybaddi009

所有者またはセキュリティチームに報告できます。丁寧に設定変更をお願いします。あなたはそれらに正しいドキュメントを提供することができ、また適切な設定を提案するかもしれません。あなたは彼らに賛成していますが、あなたが得る反応は相手の人に依存します。あなたが彼らに害を与えていなければ、彼らはあなたに対して訴訟を起こすつもりはありません。

1
Navi

私は彼らの親切を当てにせず、Torを使いました。メールアカウントをセットアップし、それを使用してその事実を報告しますが、Torに対してのみです。向こう側にどんな人がいるのか、あなたは決して知りません。

0
Aria