我来自session docs ,试图找出 session 对于敏感数据的安全性。
我想缓存远程连接,更具体地说是 SSH 连接。
文档提到了泡菜的一些安全问题,但这不是我要找的。
session 是否会以纯文本形式存储 SSH 身份验证数据(无论是在数据库、文件中还是在任何地方)?
最佳答案
Django session 系统将您的 session 存储在配置的 SESSION_ENGINE
中。 .
最常用的是数据库,但文件系统、缓存系统或签名 cookie 也是选项。
由于除 cookie 之外的所有内容都在服务器上,因此它们应该相当“安全”,但它们仅与您的服务器一样安全。
虽然数据没有加密,但应该注意的是,如果有人可以访问您的服务器,他们也将可以访问您的加密 key ,因为您的服务器仍然需要能够解密数据,因此它在结束。为了最安全,我建议将 session (可能是加密的)存储在 Redis 中,Redis 关闭后它就会消失。
将它们加密存储在 cookie 中是保证数据安全的一个很好的替代方案,但仅在使用 https 时才能被嗅探。并且不要忘记您仍然需要自己对其进行加密。
关于django - session 对于敏感数据是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18895488/