我正在研究Django 1.9项目,并且我被要求允许一些用户打印一个页面,其中包含一组用户及其密码的列表。 当然密码是加密的,没有开箱即用的方法。 我知道这意味着安全漏洞,所以我的问题有点矛盾,但有没有合理的方法来做到这一点并不意味着软件中存在巨大的安全漏洞?
答案 0 :(得分:3)
不,没有合理的做法,这并不意味着软件中存在巨大的安全漏洞。
如果密码存储正确(盐渍和散列),那么即使对数据库具有不受限制访问权限的站点管理员也无法告诉您密码的明文是什么。
你应该反击这个不合理的请求。如果你有一个工作"密码重置"功能,然后除了用户之外没有人需要知道用户的密码。 如果您没有可靠的"密码重置"功能,然后尝试引导这方面的对话和开发工作。知道/打印用户密码几乎没有任何实际业务需求,这些特征请求可能来自对技术人员有误解(或不了解)认证和授权的实现细节。