Насколько безопасно передавать всю модель в контексте, если некоторые её поля надо скрыть?

Question

[ksenod]

допустим в модели есть поля
имя
статья
телефон
На странице рендерятся только имя и статья, передается вся модель, можно ли в таком случае вытащить телефон?

Answer 1

[Roman K]

Ты хоть чуть-чуть разбирался, как происходит вся цепочка запрос-ответ? Как можно извлечь из отрендеренного HTML то, что ты туда не вывел?

Comments

[ksenod]

Поверхностно, не нашел подробного описания как это работает, потому и спрашиваю. Боялся что всю модель можно как-то перехватить и просмотреть.

[Roman K]

ksenod, друже, тебе бы разобраться с основами: что такое HTTP и что такое HTML.

[ksenod]

Roman Kitaev, я знаю реальную историю от людей,которые пароль ломали через время отклика бд на сервере. Где можно подробнее почитать как это все работает в джанго?

[Roman K]

ksenod, эта атака называется "timing attack", для предотвращения подобного может использоваться, например, https://docs.python.org/3/library/secrets.html#sec..., но в джанге всё сложнее. В открытом виде пароли никто не хранит уже очень много лет, их хранят в виде хэша, а время на генерацию хэша "почти правильного пароля" не будет коррелировать никак. Почитать можно, как и всё остальное про джангу, в документации https://docs.djangoproject.com/en/4.1/topics/auth/...