版本1.3及更少版本的django文档说:
本文档适用于不再受支持的Django不安全版本。请升级到更新版本!
还没有显示v1.1的文档。
以什么方式不安全?
仍然使用这些版本的人有什么缺点?
为什么它在被释放或被广泛使用时不安全?
支持是什么意思,它是关于修复错误的吗?
为什么没有显示v1.1的文档,Django开发人员是否确定现在没有人使用它们?
我得到了许多单行答案,但并不令人满意。
答案 0 :(得分:9)
免责声明是指“不要求我们寻求帮助,你做的是我们告诉你不要做的事情。”
从某种意义上说,没有新发现的漏洞被修补,这是不安全的。您可以在NIST Vulnerability Database搜索Django以查看可能的问题列表。 “不再支持”意味着当发现Django版本的问题时,没有人需要努力查看版本1.3或之前是否存在该问题,并且不会发布任何修复。
除了无法访问新功能外,这些版本可能容易受到当前维护版本的Django中已经减轻的攻击。如果您选择使用这些版本,则可以自行调查新发现的漏洞并自行修复。这是一个坏主意,不仅因为它有很多工作要做,而且因为没有社区审查你可能会尝试修复,而且在坏人之前没有进行任何测试来发现新问题。
< / LI>这是不安全的,至少在漏洞存在的意义上是这样。当Django文档引用1.3和之前的不安全版本时,它们并不意味着代码已经腐烂。它们意味着代码可能容易受到新发现的攻击,并且它们不会对此做任何事情。将其视为“使用风险自负。”
是。您没有获得此版本的错误修复。反向移植修复需要宝贵的开发人员时间,这就是没有人无限期支持某个版本的产品的原因。
摘要:请勿使用此版本。 Django的文档警告你有充分理由远离它。
答案 1 :(得分:3)
早于支持的版本的版本被标记为不安全,因为在发现漏洞时它们不会收到与安全相关的修补程序。受支持的版本集特别记录为发布过程的一部分:https://docs.djangoproject.com/en/stable/internals/release-process/#supported-versions
安全修复程序将应用于当前主数据库和前两个次要版本。
在本回答时1.6.x当前稳定版本意味着安全相关的修补程序将被反向移植并释放1.5.x. 1.4.x已被视为长期支持版本,并将在2015年3月之前收到安全更新。最近的一些安全修复程序不会影响1.3.x,因为它们与1.3.x之后发布的功能相关,例如与之相关的DOS密码哈希:https://www.djangoproject.com/weblog/2013/sep/15/security/
但是,其他安全问题可能会影响1.3.x项目,并且没有向后移植,因为根据https://www.djangoproject.com/weblog/2013/sep/10/security-releases-issued/或https://www.djangoproject.com/weblog/2013/aug/13/security-releases-issued/等版本政策,它不受支持如果您继续使用的版本Django没有收到安全更新,那么由您来确定您的版本是否受到影响以及解决问题的必要措施。