会话对敏感数据安全吗?

Adr*_*ián 4 django session django-sessions

我来自会话文档,试图找出会话对敏感数据的安全性.

我想缓存远程连接,更具体地说是SSH连接.

文档提到了泡菜的一些安全问题,但这不是我正在寻找的.

会话是否会以纯文本形式存储SSH身份验证数据(无论是在数据库,文件还是在任何地方)?

Wol*_*lph 7

Django会话系统将您的会话存储在已配置的会话中SESSION_ENGINE.

最常用的是数据库,但文件系统,缓存系统或签名的cookie也是选项.由于除了cookie之外的所有内容都在服务器上,因此它们应该是相当"安全"的,但它们只能像服务器一样安全.

虽然数据没有加密,但应该注意的是,如果有人可以访问您的服务器,他们也可以访问您的加密密钥,因为您的服务器仍然需要能够解密数据,因此它没有太大的区别.结束.为了最安全,我建议将会话(可能是加密的)存储在Redis中,一旦Redis关闭就会消失.

将它们加密存储在cookie中是保持数据安全的一个很好的选择,但只有在使用https时才能被嗅探.并且不要忘记您仍然需要自己加密它.