Python 使用Django+;博士后?
我将存储一些敏感信息(SSN、银行帐户等),因此它们显然需要加密。你推荐什么策略 我应该在web应用程序本身中进行所有加密/解密吗?我应该使用pgcrypto之类的东西,并在DB端进行转换吗?完全是别的吗Python 使用Django+;博士后?,python,django,postgresql,encryption,Python,Django,Postgresql,Encryption,我将存储一些敏感信息(SSN、银行帐户等),因此它们显然需要加密。你推荐什么策略 我应该在web应用程序本身中进行所有加密/解密吗?我应该使用pgcrypto之类的东西,并在DB端进行转换吗?完全是别的吗 另外,如果您认为我应该在web应用程序端进行加密,您会推荐哪些Python库?您要防范哪些?若攻击者能够访问您的DB/文件系统,他就会发现您是如何解密数据和密钥的。隐藏加密密钥不是一件容易的事情(而且很少在“普通”应用程序中实现) 我会花更多时间来保护服务器和解决所有一般安全问题。如果您决定在
另外,如果您认为我应该在web应用程序端进行加密,您会推荐哪些Python库?您要防范哪些?若攻击者能够访问您的DB/文件系统,他就会发现您是如何解密数据和密钥的。隐藏加密密钥不是一件容易的事情(而且很少在“普通”应用程序中实现)
我会花更多时间来保护服务器和解决所有一般安全问题。如果您决定在web应用程序端进行加密,并且您的应用程序使用Django,您可以查看Django扩展,尤其是EncryptedCharField和EncryptedTextField。-> < P>你也可以检查<强> djang-pgCuto >:< P>我同意,首先你需要考虑你的总体安全模型,哪些威胁途径可能是最大的风险,这篇文章: 但也可以查看Django中加密字段的以下内容: 加密字段: 更多加密字段: ,,
我同意,我正计划使用一个完全管理的服务来运行我的生产设置,正是出于这个原因——我对linux系统管理的了解刚刚够多,所以我知道的很少:)尽管如此,我仍然希望对字段进行加密。我认为这与锁上门是同一类型的活动。破门而入仍然很容易,但它增加了一点威慑力。然后,你应该将所有的加密和密钥粘贴在webapp端,这样,如果DB被盗,攻击者将一无所获。如果文件被盗-也没什么。因此,硬编码在代码中输入密钥,并使用标准Python库中的AES加密/解密所有数据。我猜您也可以将密钥放在某个wird位置,这样当盲目复制站点的根目录时,攻击者就不会获得密钥。当您说“AES来自标准Python库”时,您指的是哪个库?Python附带AES加密库吗?我看到的大多数建议都是针对pycrypto(第三方)的。Ops,实际上不是标准的libs,而是推荐的。django-extensions似乎删除了加密字段。django扩展似乎删除了加密字段。