Безопасно ли я работаю с паролями пользователей (Django + Gunicorn HTTP vs HTTPS)?
У меня есть сайт на django, на котором используется пакет django-auth, позволяющий пользователям регистрироваться и входить в систему. Я ничего не менял в том, как django-auth реализует регистрацию и вход, так что проблем быть не должно.
Я запускаю свой сервер через gunicorn, и после настройки SSL и изменения порта на 443, я заметил, что при вводе example.com нет ответа, потому что сервер больше не работает на http, только на https.
Я искал решения и мне сказали, что нужно установить nginx или какой-то обратный прокси, я решил пропустить этот шаг и, возможно, установить его позже. Я запустил два экземпляра gunicorn, один на порту 80 и один на порту 443. Затем я запустил некоторый код для перенаправления http трафика на https трафик:
if request.scheme is 'http' and settings.DEBUG is False:
return HttpResponseRedirect('https://example.com')
Я знаю, что это, вероятно, плохая идея, и мне действительно следует перейти на nginx в ближайшее время, я не беспокоюсь о каких-либо потерях производительности или каких-либо потерях безопасности, поскольку я не несу никаких конфиденциальных данных, кроме паролей пользователей.
Все, что я хочу знать, это то, что наличие http-версии сайта представляет риск для безопасности паролей, или это нормально?