Ecco cosa la documentazione Django 1.8 dice sull'argomento:
--insecure
Utilizzare l'opzione --insecure
per forzare porzione di file statici con l'app staticfiles anche se l'impostazione è DEBUG
False
. Usando questo si riconosce il fatto che è grossolanamente inefficiente e probabilmente insicuro. È destinato esclusivamente allo sviluppo locale, non dovrebbe mai essere utilizzato in produzione ed è disponibile solo se l'app staticfiles
si trova nell'impostazione INSTALLED_APPS
del progetto.
Come potete vedere, dicono "gravemente inefficiente" e "probabilmente insicuro". Non hanno detto "sicuramente insicuro" o "insicuro". Penso che quello a cui stanno suggerendo di non aver fatto un'analisi approfondita della sicurezza dell'app staticfiles
e le sue interazioni con il resto di Django.
Per me, la parte "gravemente inefficiente" dovrebbe essere sufficiente a dissuadere dal servire il contenuto statico. È facile farlo meglio ... a partire dal comando collectstatic
.
Alcuni più alla ricerca mi ha portato a questo post Google Gruppi, in risposta a qualcuno che chiedeva sul perché --insecure
è insicuro.
Da: Malcolm Tredinnick
Nulla può essere considerato sicuro a meno che non è stato progettato e verificato per sicurezza. Non abbiamo fatto né con il file server statico. Non è possibile che abbia buchi di sicurezza esistenti, ma non dovrebbe essere considerato sicuro perché non è un obiettivo di progettazione.
Ad esempio, un file server sicuro dovrebbe verificare i problemi di allocazione delle risorse in modo che la pubblicazione di un file molto grande non costituisca un attacco denial-of-service . Ciò richiede un sacco di codice aggiuntivo e la gestione della pipeline che non vale la pena inserire in qualcosa che è solo per scopi di sviluppo.
saluti,
Malcolm
... che sostiene la mia interpretazione. (Ma non sono d'accordo con il modo in cui confonde sicurezza e vulnerabilità agli attacchi DoS.)
fonte
2015-06-28 08:43:05
Non penso che sia insicuro. Il vero problema è che è inefficiente. –
Quindi è un po 'fuorviante usare l'argomento '--insecure' per forzare il servizio dei file statici con' debug = False' – Mirac7
Direttamente si intende runserver? – cdvv7788