如何在django中以最"secure"的方式暴露用户密码?
How to expose user passwords in the most "secure" way in django?
我正在处理 Django 1.9 项目,有人要求我允许一些用户打印包含一组用户及其密码列表的页面。
当然,密码是加密的,没有现成的方法可以做到这一点。
我知道这意味着存在安全漏洞,所以我的问题有点矛盾,但是是否有任何合乎逻辑的方法可以做到这一点而不意味着软件中存在巨大的安全漏洞?
不,没有任何合乎逻辑的方法可以不暗示软件中存在巨大的安全漏洞。
如果密码存储正确(加盐和散列),那么即使是对数据库具有无限制访问权限的站点管理员也无法以纯文本形式告诉您密码是什么。
你应该拒绝这个不合理的要求。如果你有一个有效的 "password reset" 功能,那么除了用户之外没有人需要知道用户的密码。 如果您没有可靠的 "password reset" 功能,请尝试将对话和开发工作引向这个方向。很少有 knowing/printing 用户密码的真正业务需求,这类功能请求可能来自对身份验证和授权的实现细节有误解(或不理解)的非技术人员。
我正在处理 Django 1.9 项目,有人要求我允许一些用户打印包含一组用户及其密码列表的页面。 当然,密码是加密的,没有现成的方法可以做到这一点。 我知道这意味着存在安全漏洞,所以我的问题有点矛盾,但是是否有任何合乎逻辑的方法可以做到这一点而不意味着软件中存在巨大的安全漏洞?
不,没有任何合乎逻辑的方法可以不暗示软件中存在巨大的安全漏洞。
如果密码存储正确(加盐和散列),那么即使是对数据库具有无限制访问权限的站点管理员也无法以纯文本形式告诉您密码是什么。
你应该拒绝这个不合理的要求。如果你有一个有效的 "password reset" 功能,那么除了用户之外没有人需要知道用户的密码。 如果您没有可靠的 "password reset" 功能,请尝试将对话和开发工作引向这个方向。很少有 knowing/printing 用户密码的真正业务需求,这类功能请求可能来自对身份验证和授权的实现细节有误解(或不理解)的非技术人员。