apache mod_wsgi django | Forum | Django на русском

29 Jan. 2011, 17:27

sergnast

Posts: 2

29 Jan. 2011, 17:27

sergnast

Posts: 2

Добрый день. Вопрос по поводу безопасности Как закрыть дырку в безопасности?

В settings.py есть строчка

urlpatterns += patterns('', (r'^media/(?P<path>.*)$', 'django.views.static.serve', {'document_root': settings.MEDIA_ROOT, 'show_indexes': False}), )

В urls.py есть строчка MEDIA_URL = 'http://example.com.ua/media/'

При развертывании джанго на боевую машину в конфигурационном файле апача например /etc/apache2/sites-available/example.com.ua имеем вот что:

<VirtualHost *> DocumentRoot /var/www-sergnast/ ServerAdmin sergnast@gmаil.cоm ServerName example.com.ua

    WSGIScriptAlias / /home/sergnast/apache/django.wsgi
    WSGIDaemonProcess sergnast processes=2 maximum-requests=5 threads=1
    WSGIProcessGroup sergnast

    Alias /media/   &quot;/home/sergnast/example.com.ua/media/&quot;

</VirtualHost>

Вот из за этого Alias за адресом example.com.ua/media/ можна увидеть все медиа файлы.... Как этого избежать Спасибо зарание.

Answer | 0

29 Jan. 2011, 22:49

alerion

Posts: 5750
Location: Львов

29 Jan. 2011, 22:49

alerion

Posts: 5750
Location: Львов

Ну на то они и медиафайлы что бы их видеть. Вы там что личные документы будете хранить?

Вот это: urlpatterns += patterns('', (r'^media/(?P.*)$', 'django.views.static.serve', {'document_root': settings.MEDIA_ROOT, 'show_indexes': False}), )

должно быть только при разработке. На продакшине отдавать статику через Django - плохая идея.

Если же вам нужна какая-то проверка прав, для загруженных файлов, например что бы видел только их хозяин, тогда отдавайте через "вьюху", которая будет проверять права пользователя. Файлы сохраняйте в папку все MEDIA_ROOT.

Фиксю баги по трейсбеку.

Answer | 0

30 Jan. 2011, 14:06

RaD

Posts: 2806
Location: Снегири, МО

30 Jan. 2011, 14:06

RaD

Posts: 2806
Location: Снегири, МО

sergnast
В settings.py есть строчка

urlpatterns += patterns('', (r'^media/(?P<path>.*)$', 'django.views.static.serve', {'document_root': settings.MEDIA_ROOT, 'show_indexes': False}), )

В urls.py есть строчка MEDIA_URL = 'http://example.com.ua/media/'

Всё перепутали

Я подробно описал в своём ответе про статику в каком случае надо использовать эту возможность Django. Alerion прав, статику надо отдавать без всякого ограничения. А вот если вы храните важные статические файлы (которые вы планируете отдавать только авторизованным пользователям) в том же каталоге, то вам следует пересмотреть структуру вашего проекта и вынести такую информацию из MEDIA_ROOT, обеспечив к ней доступ через допольнительное представление.

Если ничего не помогает, прочтите документацию, наконец!

Answer | 0

3 Feb. 2011, 21:43

sergnast

Posts: 2

3 Feb. 2011, 21:43

sergnast

Posts: 2

Спасибо большое но можно глупый вопрос повторить? Согласен с тем что мене "конфиденциальную" информацию нужно вынести из MEDIA_ROOT. Но парадокс в том, что я использую для загрузки файлов которые можно смотреть только авторизированым пользователям интерфейс джанго администратора, а в поле FileField для определения модели, загрузка произвотится в MEDIA_ROOT.
Например: passport = models.FileField(upload_to='/passport')

Updated 3 Feb. 2011, 21:48 by sergnast.

Answer | 0

3 Feb. 2011, 22:34

RaD

Posts: 2806
Location: Снегири, МО

3 Feb. 2011, 22:34

RaD

Posts: 2806
Location: Снегири, МО

sergnast Спасибо большое но можно глупый вопрос повторить? Согласен с тем что мене "конфиденциальную" информацию нужно вынести из MEDIA_ROOT. Но парадокс в том, что я использую для загрузки файлов которые можно смотреть только авторизированым пользователям интерфейс джанго администратора, а в поле FileField для определения модели, загрузка произвотится в MEDIA_ROOT.
Например: passport = models.FileField(upload_to='/passport')

Есть два варианта развития событий:

Ленивый. Просто в .htaccess настраиваете скрытие файлов для каталога ${MEDIA_ROOT}/passport/. Правильный. Создаёте класс формы и подключаете её к модели в admin.py, переопределяете у формы save(), в котором сохраняете файл в ${SUPER_SECURE_PLACE}.

Выбор за вами.

Updated 3 Feb. 2011, 22:34 by RaD.

Если ничего не помогает, прочтите документацию, наконец!

Answer | 0

6 Feb. 2011, 3:02 alerion Posts: 5750 Location: Львов	6 Feb. 2011, 3:02 alerion Posts: 5750 Location: Львов Может помочь такой вариант, но не тестил: `passport = models.FileField(upload_to='../passport')` Фиксю баги по трейсбеку.
	Answer \| 0

6 Feb. 2011, 4:04 RaD Posts: 2806 Location: Снегири, МО	6 Feb. 2011, 4:04 RaD Posts: 2806 Location: Снегири, МО Не надо так делать, даже если сработает! Если ничего не помогает, прочтите документацию, наконец!
	Answer \| 0

6 Feb. 2011, 21:02 alerion Posts: 5750 Location: Львов	6 Feb. 2011, 21:02 alerion Posts: 5750 Location: Львов Почему? Типа несекьюрно? Так, если грузить в папочку uploads чем будет отличаться от загрузки в MEDIA_ROOT? Фиксю баги по трейсбеку.
	Answer \| 0

6 Feb. 2011, 22:29 RaD Posts: 2806 Location: Снегири, МО	6 Feb. 2011, 22:29 RaD Posts: 2806 Location: Снегири, МО Некошерно. Если ничего не помогает, прочтите документацию, наконец!
	Answer \| 0

6 Feb. 2011, 23:21 alerion Posts: 5750 Location: Львов	6 Feb. 2011, 23:21 alerion Posts: 5750 Location: Львов Ну можно функцию указать в upload_to, будет кошернее. Фиксю баги по трейсбеку.
	Answer \| 0