我的脚本 A 需要在我的专业电子邮件中执行身份验证。现在,我将这些数据放在一个python dict()中的脚本 B 中,该脚本在运行时以未加密的形式导入到脚本 A 中。脚本 B 不受版本控制。
这仅适用于个人项目,因此我不需要具有非常可重复使用的代码,但有问题的身份验证可以访问关键数据。
在运行时导入未加密的数据as described in this answer是否安全?
答案 0 :(得分:1)
不,不是真的。
两个值得注意的问题。
首先,如果攻击者可以访问您的主要来源,那么查找身份验证信息非常简单。
其次,如果有人偶然发现了 B 文件,那么您的凭据就显而易见了。
处理这是一个关键的管理问题,因为您要做的是加密身份验证信息,但是您需要一个密钥,然后您又回到原点。这是一个棘手的问题。
游戏正在埋葬钥匙。
最简单的解决方案是在启动时简单地提示输入密钥(或凭据),而不是将其存储在内存中的任何位置。
或者你可以对凭证进行简单的加密,将密钥存储在一个文件中,并将其读入。这将打败偶然窥探(有人只看文件),但没有其他人。
因此,这取决于您对威胁配置文件的真实感受。