[pyar] Encriptar con Django

Daniel Moisset dmoisset en machinalis.com
Jue Ago 21 13:55:12 ART 2014


Te completo lo anterior con un consejo fuerte: siendo que veo que no tenes
claro los detalles esto (y yo lo que se lo toco un poco de oido), si son
datos muy sensibles te recomiendo que pienses en buscar alguna consultora
de seguridad que sepa bien del tema. Tocando de oido es muy muy muy facil
meter la pata, y acabar haciendo macanas grandes:
http://www.joewilcox.com/wp-content/uploads/2010/01/bicycle-wheel.jpg

Saludos,

D.



2014-08-21 13:52 GMT-03:00 Daniel Moisset <dmoisset en machinalis.com>:

> Los datos encriptados los tenes que proteger de quien? El tema de la
> criptografia es que no es una cuestion de la liberria nomas (podes usar
> python-gnupg) sino como se integra en todo. Si tu preocupacion es que
> alguien con acceso al server se loguee en la maquina y vea los datos,
> probablemente noe stas protegiendo nada, por que si el sistema esta en el
> mismo server, tambien tiene la clave de desencripcion (si el sistema le
> esta mostrando datos desencriptados el usuario, es porque el sistema
> desencripta, y por lo tanto tiene la clave). Por ahi si te protege si vos
> corres el sistema y tenes la db en un servidor cloud (un setup extraño,
> pero posible). O si se desencripta en el browser, y el usuario tiene que
> poner la clave de desencripcion). Pero como armas todo eso depende de que
> ataques estas queriendo prevenir/frenar.
>
> Por ejemplo, si e preocupa que la NSA te robe un disco y vea los datos,
> podes tener los datos en 2 sites distintos, y con onetimepads (en un server
> el OTP y en otro el cifrado), y tenes una garantia perfecta contra eso
> (pero no contra que la NSA te hackee el servidor del sistema y te los
> agarre cuando se desencriptan)
>
> Entonces, sin un escenario fijo, la respuesta es "depende". Pero cuando
> sepas bien donde va la criptografia, donde se guardan las claves, quien
> tiene acceso a que cosa, probablemente con python-gnupg podes armar algo
>
> D.
>
>
>
> 2014-08-21 13:33 GMT-03:00 Juan Rodríguez Monti <
> juanrodriguezmonti en gmail.com>:
>
>>
>> El 21 de agosto de 2014, 13:29, fisa <fisadev en gmail.com> escribió:
>>
>> Ah, jaja, pasa, esto de que haya tantas siglas que terminan en números se
>>> presta para confundirse :D
>>
>>
>> Fisa, te estás distrayendo y no me estás recomendando :-P Si mi experto
>> en Django de cabecera me falla estoy al horno ! :-)
>>
>> J.
>>
>>
>>
>> --
>> Juan Rodríguez Monti
>>
>> Blog: *http://blog.jrodriguezmonti.com.ar
>> <http://blog.jrodriguezmonti.com.ar>*
>> Twitter: @jrodriguezmonti
>>
>> _______________________________________________
>> pyar mailing list pyar en python.org.ar
>> http://listas.python.org.ar/listinfo/pyar
>>
>> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140821/3983ba15/attachment.html>


More information about the pyar mailing list