2014-11-24 18:45 GMT+00:00 Carlos Catucci <carlos.catu...@gmail.com>:
> > 2014-11-24 19:43 GMT+01:00 enrico franchi <enrico.fran...@gmail.com>: > >> Dovrebbe fare un check su ldap e se il job role matcha engineer e non >> scientist non fartelo manco installare... > > > No senti, caro a me ste parole cosi' non me le ha mai dette nessuno e non > me le faccio dire certo da te, chiaro? ;) > > Scherzi a parte che vor di'? > Quella libreria, fra le varie features molto comode che offre, ti gestisce le credenziali di accesso ai db. E te le gestisce sparandotele in un file nella home in chiaro (base64 conta come in chiaro, ovviamente). E per inciso il file e' con permessi di default (644). Il che vuole dire che, nella maggior parte delle installazioni chi ha accesso alla macchina ha potenzialmente modo di accedere al file stesso da utente non previlegiato (dipende tutto da come sono i permessi della home). Il che vuole dire che se usi la libreria, come suggeriscono gli autori, per fare "data science" (qualunque cosa voglia dire) *forse* la cosa e' accettabile. Se la usi per smandruppare database di produzione, molto probabilmente stai introducendo una falla non irrilevante nel sistema (ovviamente a seconda del tipo di utente che usi per il db, etc etc etc). Tipicamente, se io qualcuno provasse a salvare arbitrarie password di accesso a db in chiaro sul disco vorrei la sua testa... perche' e' un attimo farci finire dentro anche quelle di produzione. -- . ..: -enrico-
_______________________________________________ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
