版本1.3及以下的django文档说:

本文档适用于不再受支持的Django不安全版本。 请升级到更新的版本!

另外,未显示v1.1的文档。

  1. 它以什么方式不安全?

  2. 仍然使用这些版本的人会有什么缺点?

  3. 当它被释放或被广泛使用时为什么不安全?

  4. 它们对支持意味着什么,是关于它们所做的错误修复?

  5. 为什么没有显示v1.1的文档,Django开发人员是否确定现在没有人使用它们?

我得到了许多单行答案,但并不令人满意。

===============>>#1 票数:9 已采纳

免责声明意味着,“不要求我们寻求帮助,你做的事我们告诉你不要做。”

  1. 从某种意义上说,没有新发现的漏洞被修补,这是不安全的。 您可以在NIST漏洞数据库中搜索Django以查看可能的问题列表。 “不再支持”意味着当发现Django版本的问题时,没有人需要努力查看版本1.3或之前是否存在该问题,并且不会发布任何修复。

  2. 除了无法访问新功能之外,这些版本可能容易受到当前维护版本的Django中已经减轻的攻击。 如果您选择使用这些版本,则可以自行调查新发现的漏洞并自行修复。 这是一个糟糕的想法,不仅因为它有很多工作要做,而且因为没有社区审查你可能会尝试修复,而且在坏人之前没有进行任何测试来发现新问题。

  3. 这是不安全的,至少在存在漏洞的意义上是这样。 当Django文档引用1.3和之前的不安全版本时,它们并不意味着代码已经腐烂。 它们意味着代码可能容易受到新发现的攻击,并且它们不会对此做任何事情。 可以将其视为“使用风险自负”。

  4. 是。 您没有获得此版本的错误修复。 向后移植修复需要宝贵的开发人员时间,这就是为什么没有人无限期地支持某个版本的产品。

摘要:不要使用此版本。 Django的文档警告你有充分的理由远离它。

===============>>#2 票数:3

早于支持版本的版本被标记为不安全,因为在发现漏洞时它们不会收到与安全相关的修复。 支持的版本集特别记录为发布过程的一部分: https//docs.djangoproject.com/en/stable/internals/release-process/#supported-versions

安全修复程序将应用于当前主数据库和前两个次要版本。

在本回答时1.6.x当前稳定版本意味着安全相关的修补程序将被反向移植并释放1.5.x. 1.4.x已被视为长期支持版本,并将在2015年3月之前收到安全更新。最近的一些安全修复程序不会影响1.3.x,因为它们与1.3.x之后发布的功能相关,例如与之相关的DOS密码哈希: https ://www.djangoproject.com/weblog/2013/sep/15/security/

但是,其他安全问题可能会影响1.3.x项目,并且没有向后移植,因为它不受发布政策的支持,例如https://www.djangoproject.com/weblog/2013/sep/10/security-releases-已发布/https://www.djangoproject.com/weblog/2013/aug/13/security-releases-issued/如果您继续使用未收到安全更新的Django版本,则由您自行决定确定您的版本是否受到影响以及解决问题的必要措施。

  ask by akki translate from so

未解决问题?本站智能推荐:

1回复

Django 1.5终于不安全了?

我是django用户并使用1.5版本,几乎完成开发应用程序。 但我终于意识到,每当我阅读django 1.5的文档时,顶部都有一个标语,1.5是不安全的版本..我是否应该转向更高版本?
1回复

Python-Django从字符串中删除不安全字符

我目前正在用以下字符在我的网站上进行搜索: Q =增加%0B 0B% 这两个字符表示错误,我的搜索未返回任何内容。 如果我仅搜索增加,而没有两个持续,则搜索有效。 通过删除所有那些不安全的字符,是否可以使html安全? 谢谢 !
1回复

Django和Ajax Push Engine(APE):不安全的JavaScript尝试使用URL访问框架

我正在尝试为我的Django项目设置一个APE服务器。 设定 我按照APE wiki中的设置说明进行操作: 简单的APE配置 我不得不改变端口。 我的虚拟主机配置如下: 运行http://local.ape-project.org:8100/Tools/Check/成功
2回复

Python-Django文档说这是服务静态文件的不安全方式-是真的,如果是,怎么办?

我遵循这种传递静态文件的方式,但是根据顶部的免责声明,它既不安全又效率低下。 是真的吗 我应该怎么做呢? 另外,还有一个半题:在网络编程的上下文中术语“媒体”和“静态文件”是否可以互换? 我看到他们四处乱扔,他们似乎在指同一件事。
1回复

python Web应用程序的部分能否安全,而其他部分则不安全? [重复]

这个问题已经在这里有了答案: 使用HTTPS为安全的Django页面提供服务 1回答 我正在考虑将python / django用于我的Web开发。 对于某些应用程序,我需要移植,但我的网站的管理部分需要通过SSL进行服务,而主界面则不需要。 有没有一种方法
2回复

PyPDF2在打开不安全文件时是否采取任何安全措施?

我想要使​​用PyPDF2,但首先要确保使用它是安全的。 我无法在它的文档中找到任何内容。 我想用它来确保上传的文件是有效的PDF。 用户已经过验证,但我担心他们仍然无法在不知情的情况下上传不安全的内容。 PyPDF2有什么方法可以告诉它,即使它是PDF,也是不安全的? 资料来源:
3回复

DisallowedRedirect(不安全的重定向到带协议的URL)Django

我在登录用户时收到DisallowedRedirect错误两个视图都是
1回复

Django 1.7邮件API“不安全”吗?

通过看到这个答案,我了解到谷歌阻止某些应用程序连接,由于这些应用程序“缺乏现代安全标准的应用”,我可以让谷歌允许我的帐户从这些应用程序连接 - 我必须明确地这样做。 这是由于Django邮件中的一个问题: 我的EMAIL_设置涉及@ gmail.com帐户 (SSL / 465或T
2回复

MySQL配置不正确原因:不安全使用相对路径

我正在使用Django,当我运行python manage.py runserver我收到以下错误: 我不完全确定如何解决这个问题。 我已经通过pip安装了MySQL-python。 然后我提前做了这一步。 我还想指出这是与El Capitan Beta 3。
2回复

为什么Django函数django.views.static.serve()是不安全的?

根据使用django.views.static.server()函数的文档是: 低效和不安全。 我理解为什么它效率低下,但在哪个方面它是insecure ?