apache mod_wsgi django | Форум | Django на русском

29 Янв. 2011, 17:27

sergnast

Отклики: 2

29 Янв. 2011, 17:27

sergnast

Отклики: 2

Добрый день. Вопрос по поводу безопасности Как закрыть дырку в безопасности?

В settings.py есть строчка

urlpatterns += patterns('', (r'^media/(?P<path>.*)$', 'django.views.static.serve', {'document_root': settings.MEDIA_ROOT, 'show_indexes': False}), )

В urls.py есть строчка MEDIA_URL = 'http://example.com.ua/media/'

При развертывании джанго на боевую машину в конфигурационном файле апача например /etc/apache2/sites-available/example.com.ua имеем вот что:

<VirtualHost *> DocumentRoot /var/www-sergnast/ ServerAdmin sergnast@gmаil.cоm ServerName example.com.ua

    WSGIScriptAlias / /home/sergnast/apache/django.wsgi
    WSGIDaemonProcess sergnast processes=2 maximum-requests=5 threads=1
    WSGIProcessGroup sergnast

    Alias /media/   &quot;/home/sergnast/example.com.ua/media/&quot;

</VirtualHost>

Вот из за этого Alias за адресом example.com.ua/media/ можна увидеть все медиа файлы.... Как этого избежать Спасибо зарание.

Ответ | 0

29 Янв. 2011, 22:49

alerion

Отклики: 5748
Местонахождение: Львов

29 Янв. 2011, 22:49

alerion

Отклики: 5748
Местонахождение: Львов

Ну на то они и медиафайлы что бы их видеть. Вы там что личные документы будете хранить?

Вот это: urlpatterns += patterns('', (r'^media/(?P.*)$', 'django.views.static.serve', {'document_root': settings.MEDIA_ROOT, 'show_indexes': False}), )

должно быть только при разработке. На продакшине отдавать статику через Django - плохая идея.

Если же вам нужна какая-то проверка прав, для загруженных файлов, например что бы видел только их хозяин, тогда отдавайте через "вьюху", которая будет проверять права пользователя. Файлы сохраняйте в папку все MEDIA_ROOT.

Фиксю баги по трейсбеку.

Ответ | 0

30 Янв. 2011, 14:06

RaD

Отклики: 2704
Местонахождение: Снегири, МО

30 Янв. 2011, 14:06

RaD

Отклики: 2704
Местонахождение: Снегири, МО

sergnast
В settings.py есть строчка

urlpatterns += patterns('', (r'^media/(?P<path>.*)$', 'django.views.static.serve', {'document_root': settings.MEDIA_ROOT, 'show_indexes': False}), )

В urls.py есть строчка MEDIA_URL = 'http://example.com.ua/media/'

Всё перепутали

Я подробно описал в своём ответе про статику в каком случае надо использовать эту возможность Django. Alerion прав, статику надо отдавать без всякого ограничения. А вот если вы храните важные статические файлы (которые вы планируете отдавать только авторизованным пользователям) в том же каталоге, то вам следует пересмотреть структуру вашего проекта и вынести такую информацию из MEDIA_ROOT, обеспечив к ней доступ через допольнительное представление.

Если ничего не помогает, прочтите документацию, наконец!

Ответ | 0

3 Фев. 2011, 21:43

sergnast

Отклики: 2

3 Фев. 2011, 21:43

sergnast

Отклики: 2

Спасибо большое но можно глупый вопрос повторить? Согласен с тем что мене "конфиденциальную" информацию нужно вынести из MEDIA_ROOT. Но парадокс в том, что я использую для загрузки файлов которые можно смотреть только авторизированым пользователям интерфейс джанго администратора, а в поле FileField для определения модели, загрузка произвотится в MEDIA_ROOT.
Например: passport = models.FileField(upload_to='/passport')

Обновлено 3 Фев. 2011, 21:48 sergnast.

Ответ | 0

3 Фев. 2011, 22:34

RaD

Отклики: 2704
Местонахождение: Снегири, МО

3 Фев. 2011, 22:34

RaD

Отклики: 2704
Местонахождение: Снегири, МО

sergnast Спасибо большое но можно глупый вопрос повторить? Согласен с тем что мене "конфиденциальную" информацию нужно вынести из MEDIA_ROOT. Но парадокс в том, что я использую для загрузки файлов которые можно смотреть только авторизированым пользователям интерфейс джанго администратора, а в поле FileField для определения модели, загрузка произвотится в MEDIA_ROOT.
Например: passport = models.FileField(upload_to='/passport')

Есть два варианта развития событий:

Ленивый. Просто в .htaccess настраиваете скрытие файлов для каталога ${MEDIA_ROOT}/passport/. Правильный. Создаёте класс формы и подключаете её к модели в admin.py, переопределяете у формы save(), в котором сохраняете файл в ${SUPER_SECURE_PLACE}.

Выбор за вами.

Обновлено 3 Фев. 2011, 22:34 RaD.

Если ничего не помогает, прочтите документацию, наконец!

Ответ | 0

6 Фев. 2011, 3:02 alerion Отклики: 5748 Местонахождение: Львов	6 Фев. 2011, 3:02 alerion Отклики: 5748 Местонахождение: Львов Может помочь такой вариант, но не тестил: `passport = models.FileField(upload_to='../passport')` Фиксю баги по трейсбеку.
	Ответ \| 0

6 Фев. 2011, 4:04 RaD Отклики: 2704 Местонахождение: Снегири, МО	6 Фев. 2011, 4:04 RaD Отклики: 2704 Местонахождение: Снегири, МО Не надо так делать, даже если сработает! Если ничего не помогает, прочтите документацию, наконец!
	Ответ \| 0

6 Фев. 2011, 21:02 alerion Отклики: 5748 Местонахождение: Львов	6 Фев. 2011, 21:02 alerion Отклики: 5748 Местонахождение: Львов Почему? Типа несекьюрно? Так, если грузить в папочку uploads чем будет отличаться от загрузки в MEDIA_ROOT? Фиксю баги по трейсбеку.
	Ответ \| 0

6 Фев. 2011, 22:29 RaD Отклики: 2704 Местонахождение: Снегири, МО	6 Фев. 2011, 22:29 RaD Отклики: 2704 Местонахождение: Снегири, МО Некошерно. Если ничего не помогает, прочтите документацию, наконец!
	Ответ \| 0

6 Фев. 2011, 23:21 alerion Отклики: 5748 Местонахождение: Львов	6 Фев. 2011, 23:21 alerion Отклики: 5748 Местонахождение: Львов Ну можно функцию указать в upload_to, будет кошернее. Фиксю баги по трейсбеку.
	Ответ \| 0