15
プロダクション環境では、DEBUG = Trueのままにしておくと潜在的に危険であると言う人がいるのはなぜですか?DEBUG = True Django
私のサーバーで悪質なタスクを実行するためにこのセキュリティ問題を悪用する可能性のある例は何ですか? DEBUGをオンに
A
答えて
11
https://docs.djangoproject.com/en/dev/ref/settings/#debug
は「生産にサイトを展開しないでください。
は、あなたがそれをキャッチしましたか?DEBUGをオンにして生産にサイトを展開しないでください。主な機能のワンDEBUGがTrueのときにアプリが例外を発生させた場合、Djangoは現在のDjango設定(設定からのもの)のような、あなたの環境に関する多くのメタデータを含む詳細なトレースバックを表示します。パイ)
基本的には、大きな穴が開いています。
また、大量のメモリを無駄に:DEBUGをオンにして、Djangoはそれが実行されるすべてのSQLクエリを覚えているでしょう実行しているときに、デバッグしているときに便利であることを覚えておくことも重要である」
が、運用サーバー上でメモリを急速に消費します。
+0
を受け入れる必要がありますので、** DEBUG **をプロダクションに割り当てる必要がありますか? – shuboy2014
+0
@ shuboy2014プロダクション環境のための 'DEBUG = False' –
+0
これは質問に答えていないようです。 OPは生産時にDEBUGを有効にしないことを知っているようです。 **誰かがセキュリティ上の問題を悪用してサーバー上で悪意のあるタスクを実行する可能性のある**例**を求めました。 「やってはいけない」と繰り返すことは、Family Guyのエピソードでは、Quagmireがコールガールと一緒にならないと言い、Joeは「Good。Do not」と言います。そしてQuagmireは「Iすでにそれをしていないことを知っている、あなたは私に言わせる必要はありません "、ジョーが応答する:"良い、しないでください "。 –
6
Djangoはデバッグページで安全な情報を難読化しようとしますが、完璧ではありません。
デフォルトでは、KEY(Django 1.4を起動)、SECRETなどの設定は自動的に*に置き換えられます。しかし、誰かがクリエイティブになりSECRETをSECURE_STRなどと呼び出すと、プレーンテキストとして表示されます。それが欲しいですか?また、誰かが簡単にあなたのサーバーにハックするのはちょっと酔っぱらいです。
+0
秘密情報が漏洩する可能性のある素晴らしい例です。 –
関連する問題
- 1. Djangoの設定でデバッグトレースがありません。Debug = True
- 2. @ServiceHost Debug = "true" - パフォーマンスの低下?
- 3. Eclipse/PyDev + Django debug
- 4. MVC C#コンパイルdebug = trueまだバンドル
- 5. TastyPie debug = Trueでカスタムエラーとステータスコード= 500
- 6. DEBUGがTrueの場合にDjangoがdjango-compressorをロードできないようにする
- 7. Django:manage.py runserverコマンドからDebug = Trueを無効にする
- 8. django ModelForm "unique = True"
- 9. DEBUG = FalseのDjangoメール送信エラー
- 10. Django Homepage 400 debug = Falseの場合
- 11. Django-get_or_create()with auto_now = True
- 12. django rest framework。 raise_exception = True
- 13. Django Debug Toolbarパネルのクリックエラー、未定義
- 14. サブドメインコンフィグレーションで壊れたdjango-debug-toolbarパネル
- 15. <deployment retail = "true">とdebug = "false"の違いは何ですか?
- 16. <compilation debug = "true">と.csprojファイル設定の違いは?
- 17. コンパイルdebug = true - 再コンパイルせずに変更しますか?
- 18. DEBUG = Trueの場合、Djangoはすべての静的ファイルに対応していません。
- 19. debug = falseでFlexがコンパイルされ、debug = trueのときにエラーが発生しないようにしました。
- 20. DEBUG定数は定義されていません。#if DEBUGはリリースビルド時にtrueを返します。
- 21. [django] debug = falseの場合、MEDIA_URLが返されません。
- 22. Djangoのメディアファイルは、生産時にDebug = Falseで表示されません - Django 1.10
- 23. django-debug-toolbar: 'テンプレート'オブジェクトに 'engine'属性がありません
- 24. ASP.NET MVCのstartup.authでdebug = trueをチェックする方法はありますか?
- 25. Eclipseのuiautomatorコマンド '-e debug true'を実行しても動作しません。
- 26. debug = "true"のWebアプリケーションを実行するセキュリティ上のリスクはありますか?
- 27. StackTraceをweb.configの<compilation debug = "true">に利用できますか?
- 28. Apache Djangoの静的ファイルが提供されないDEBUG = False
- 29. Django 1.1 beta 1 - フラットページエラー、Debug = False、404.html付き
- 30. Heroku Django DEBUG設定が適用されていません
あなたは正しいansを受け入れるべきです。 – shuboy2014
@ PraveenGollakotaの回答 –