[Python-es] Seguridad en Python
Diego Uribe Gamez
diego.uribe.gamez en gmail.com
Mar Oct 30 16:41:17 CET 2012
Super interesante el tema, yo creo que la mejor seguridad que puedes hacer
es a nivel de maquina, permisos de usuario y de mas, podrías también usar
multimaquinas para hacer mas profundo la entrada al programa, como un
servidor centos con maquinas virtuales redhat que entre si tengan toda tu
app por separado con claves separadas y todo lo demás en seguridad de
redes, esto es lo mas complicado que he logrado para que no entren al
codigo.
pero si el programa se ejecuta en local y el usuario puede leerlo, lo
que podrías hacer es hacer que el programa consulte un servidor externo con
el código esencial y que nadie mas que tu puedan entrar a verlo o leerlo.
esa seria mi solución.
El 30 de octubre de 2012 10:20, Alexandro Colorado <jza en oooes.org> escribió:
> On 10/30/12, Carlos Zuniga <carlos.zun en gmail.com> wrote:
> > 2012/10/30 Dhannier Molina <dhannier en gmail.com>:
> >> Hola!! A que te refieres con un simple problema de permisos?
> >
> > A que si no quieres que el usuario modifique el programa, quítale los
> > permisos de escritura:
> >
> > chmod -R -w directorio/del/programa
> >
> > El usuario solo debería ser capaz de leer y ejecutar el programa, nada
> más.
>
> Asi es, es importante saber que es lo que el quiere hacer. Si es una
> respuesta tan vaga como "no quiero que me hackeen". Entonces creo que
> debera hacer mas trabajo de investigacion. Otra cosa es que tenga
> inteligencia "hardcoded" o programada en duro dentro del codigo.
>
> >
> >> Estoy evaluando
> >> varias alternativas como Cython, PyPy, Pyrex y Ofuscación para proteger
> >> lo
> >> mejor posible mi sistema hecho en Python.
>
> La implementacion de Python, no es muy relevante, aunque si, en Jython
> podrias tener el codigo dentro de un war o jar y hacerlo 'portable'
> desde la JVM. El entendido es que el codigo en si sea seguro, no
> ofuscarlo.
>
> >
> > Creo que la pregunta es, protegerlo de qué? si es un sistema web y
> > quieres protegerlo de ataques de inyección de sql, xss, etc; ofuscarlo
> > no te ayudará, mejor mira herramientas de tests de penetración como
> > w3af.
> >
> > Si es un sistema de escritorio y quieres evitar que el usuario
> > modifique el programa, los permisos son más que suficiente.
> >
> > Si quieres evitar que un intruso pueda modificar tu programa en un
> > servidor, entonces tienes que proteger al servidor.
> >
> >> Y evaluar en que lenguaje de programación hacer un modulo de seguridad a
> >> nivel de usuario y perfiles. (Python u otro lenguaje que pueda ligarlo a
> >> Python).
> >>
> >
> > Eso ya queda dentro de tu aplicación, es mejor escribir los permisos
> > de manera que aún asumiendo que el usuario pueda leer el código
> > fuente, esto no represente un problema de seguridad en tu aplicación.
> >
> > Saludos
> > --
> > A menudo unas pocas horas de "Prueba y error" podrán ahorrarte minutos
> > de leer manuales.
> > _______________________________________________
> > Python-es mailing list
> > Python-es en python.org
> > http://mail.python.org/mailman/listinfo/python-es
> > FAQ: http://python-es-faq.wikidot.com/
> >
>
>
> --
> Alexandro Colorado
> PPMC Apache OpenOffice
> http://es.openoffice.org
> _______________________________________________
> Python-es mailing list
> Python-es en python.org
> http://mail.python.org/mailman/listinfo/python-es
> FAQ: http://python-es-faq.wikidot.com/
>
--
*Diego Alonso Uribe Gamez*
------------------------------
*Desarrollador web*
Twitter: @DiegoUG <http://www.twitter.com/DiegoUG>
Google+: http://gplus.to/diegoug
------------------------------
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mail.python.org/pipermail/python-es/attachments/20121030/0e29155c/attachment.html>
Más información sobre la lista de distribución Python-es