2010-03-01 194 views
2

我很好奇Django默認管理面板的安全性。對於一個活的Django網站,我將使用Django管理進行所有管理,感覺就像在mysite.com/admin/處簡單地詢問用戶名和密碼,對於強力嘗試(或者基於字典的嘗試),url有點弱,我對自動黑客攻擊知之甚少嘗試)Django默認管理面板安全

對於額外的保護,你會有什麼建議?

我的想法是:

  • 只允許admin/登錄特定的IP。 (我不知道如何實現這一目標)
  • 詢問驗證碼(我能找到一些Infor公司使用的Django的驗證碼,但不知道管理員登錄)

感謝

回答

1

爲什麼你認爲一個用戶名和密碼太弱?它似乎適用於Google,所以對您來說可能已經夠用了。

我看不出驗證碼將如何幫助你,我想限制訪問某些IP地址很可能只會當你在一個企業風格的設置,在這裏你只曾經希望人們使用Django是有益的從公司網絡內訪問您的管理網站,儘管當內部IP由於某種原因而發生更改時,即使這樣也可能會長期受到您的影響。

如果您擔心強力攻擊,您可能對Luke Plant對django-developers郵件列表中的this thread以及Django的首席開發人員之一Simon Willison的this post感興趣。

+1

非常感謝! (特別是Simon Willison的鏈接)正如他所說,限制每分鐘修改登錄嘗試是一個好主意,我會盡力實現它:) – Hellnar 2010-03-01 23:21:38