Каков риск для Secret KEy в Django?
У меня вопрос по поводу Django и Secret Key. К сожалению, я сделал коммит в публичный репозиторий с видимым секретным ключом. Затем я получил сообщение:
GitGuardian обнаружил следующий секретный ключ Django, открытый в вашем аккаунте на GitHub.
Затем я сразу же удалил это репо из своего github, но все еще беспокоился, не случится ли со мной чего-нибудь. Приложение было просто hello world на моем локальном сервере. Я прочитал несколько статей о том, что это очень опасно, но я не уверен, что кто-то может взломать меня таким образом. Можете ли вы посоветовать? Спасибо.
Если под взломом вы подразумеваете, что злоумышленники могут увидеть ваши личные файлы и ваше устройство находится в опасности, я могу с уверенностью сказать, что этого не произойдет
Единственное, что вам угрожает, это когда:
- злоумышленник подключен к вашей локальной сети и,
- ваше приложение Django запущено
Потому что вы запускаете свое приложение django на localhost, а localhost является локальным и скрыт от публичной сети. он доступен только тогда, когда кто-то подключен к вашей сети.
целью SECRET_KEY является защита подписанных данных, и злоумышленники не могут использовать его для генерации собственных подписанных значений.
подробнее об опасности утечки SECRET_KEY можно прочитать в здесь
Но это не создаст проблем для вас, поскольку вы не разместили его публично. Если только ваши соседи не взломают вашу беспроводную домашнюю сеть и не будут ждать, пока ваше приложение Django запустится и сделает для себя сессию, что не так важно, потому что у вас нет ничего ценного в вашем проекте .
Так что не беспокойтесь об этом