我来自session docs,试图了解会话对敏感数据的安全程度。
我想缓存远程连接,更具体地说是SSH连接。
文档提到了泡菜的一些安全问题,但这不是我正在寻找的。
会话是否会以纯文本形式存储SSH身份验证数据(无论是在数据库,文件还是在任何地方)?
答案 0 :(得分:5)
Django会话系统将您的会话存储在配置的SESSION_ENGINE。
最常用的是数据库,但文件系统,缓存系统或签名的cookie也是选项。 由于除了cookie之外的所有内容都在服务器上,因此它们应该是相当“安全”的,但它们只能像服务器一样安全。
虽然数据没有加密,但应该注意的是,如果有人可以访问您的服务器,他们也可以访问您的加密密钥,因为您的服务器仍然需要能够解密数据,因此它不会到底有多大差异。为了最安全,我建议将会话(可能是加密的)存储在Redis中,一旦Redis关闭就会消失。
将它们加密存储在cookie中是保持数据安全的一个很好的选择,但只有在使用https时才能被嗅探。并且不要忘记您仍然需要自己加密。