سلام
جنگو به صورت پیشفرض یک کلاس user دارد و پسورد های کاربران را طبق الگوریتم های رمزنگاری که خودش دارد در پایگاه داده ذخیره می کند
می خواستم بپرسم ایا استفاده از همین سیستم پیشفرض جنگو در طراحی سایت کار صحیحی است؟
ایا ایمن است؟
یا این که بایدسیستم رمزنگاری را عوض کنیم و خودمان یک سیستم رمزنگاری جدید ایجاد کنیم؟
متشکرم
الگوریتم های رمز گزاری پسورد غیر قابل بازگشت هستن
اگه نگرانیت اینه که کسی بفهمه الگوریتم رمز گزاری چیه و رمز ها رو برگردونه , نگرانیت بی خوده
در کل جنگو به صورت پیشفرض یه فریمورک امن هستش یعنی توی همه مواردی که به کار برده امنیت رو رعایت کرده و برنامه نویس رو مجبور میکنه به روش امن کار رو انجام بده
پس همون روش های یکه خودش به صورت پیش فرض ارائه میده رو انجام بده و خیالت راحت باشه
من همیشه نگران امنیتم.
سوال های زیادی هست که نگرانم می کنه .
مثلا ایا کلاس ادمین جنگو رو استفاده کنم؟
ایا از django rest framework که استفاده میکنم باعث نمیشه دسترسی به پایگاه داده باز باشه ؟
ایا از همون سشن و کوکی جنگو استفاده کنم؟
ایا همین که از csrf_token در فرم هام استفاده کنم کافیه یا کاربرانی میتونن به سیستم نفوذ کنن؟
امنیت سایت با یک قسمت و یک کار تامین نمیشه و راه های حمله زیادی وجود داره که باید همه رو پوشش بدی
مثل اینه که بخای یه خونه رو امن کنی
فقط در وردی نیست , شاید از پشت بوم دزد بیاد شاید از رو دیورا بپره شاید زمین رو بکنه شاید زنگ خونه رو بزنه شما درو براش باز کنی !
جنگو میدونه خیلی برنامه نویس ها به همه خطرات و روش های جلوگیریش واقف نیستن پس جوری طراحی شده که به صورت دیفالت خطرات رو خنثی کنه در بخش های محتلف
مثلا خیلی ها نمیدونن csrf برای چیه و حملش چجوریه ولی وقتی جنگو مجبورتون کنه از توکن استفاده کنید این حمله رو خنثی میکنه بدونه اینکه شما بدونید چیه یا حملات پیچیده ای مثل sql injection رو با استفاده از ORM برای کوئری نویسی خنثی میکنه بدونه اینکه کاربر اصلا بدونه این حملات چی هستن و چجوری میشه جلوشون رو گرفت
کلا از همه ابزار های جنگو استفاده کنی خیلی حملات رو خثی میکنه اونوقت نگران اصلیت باید باگ های برنامه نویسیت باشه که تو نوشتن کد سوتی نداده باشی
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول