Документация Python неофициальный перевод

security_warnings.md

26 строк · 4.8 КБ · обычная страница · сырой текст · скачать

1> **Источник:** https://python-all.ru/3.16/library/security_warnings.html2>3> «Документация Python на русском» – неофициальный перевод официальной документации Python: версии от 2.6 до 3.16, полнотекстовый поиск, английский оригинал рядом с переводом. Эта Markdown-версия страницы предназначена для работы с LLM: вставьте её в ChatGPT, Claude или Cursor.45---67# Вопросы безопасности89Следующие модули имеют особые соображения безопасности:1011- [`base64`](https://python-all.ru/3.16/library/base64.html#module-base64): [вопросы безопасности base64](https://python-all.ru/3.16/library/base64.html#base64-security) в [**RFC 4648**](https://python-all.ru/3.16/library/security_warnings.html)12- [`hashlib`](https://python-all.ru/3.16/library/hashlib.html#module-hashlib): [все конструкторы принимают ключевой аргумент “usedforsecurity”, отключающий известные небезопасные и заблокированные алгоритмы](https://python-all.ru/3.16/library/hashlib.html#hashlib-usedforsecurity)13- [`http.server`](https://python-all.ru/3.16/library/http.server.html#module-http.server) не подходит для использования в производстве, реализуя только базовые проверки безопасности. См. [вопросы безопасности](https://python-all.ru/3.16/library/http.server.html#http-server-security).14- [`logging`](https://python-all.ru/3.16/library/logging.html#module-logging): [Конфигурация логирования использует eval()](https://python-all.ru/3.16/library/logging.config.html#logging-eval-security)15- [`multiprocessing`](https://python-all.ru/3.16/library/multiprocessing.html#module-multiprocessing): [Connection.recv() использует pickle](https://python-all.ru/3.16/library/multiprocessing.html#multiprocessing-recv-pickle-security)16- [`pickle`](https://python-all.ru/3.16/library/pickle.html#module-pickle): [Ограничение глобальных переменных в pickle](https://python-all.ru/3.16/library/pickle.html#pickle-restrict)17- [`random`](https://python-all.ru/3.16/library/random.html#module-random) не должен использоваться в целях безопасности, используйте [`secrets`](https://python-all.ru/3.16/library/secrets.html#module-secrets) вместо этого18- [`shelve`](https://python-all.ru/3.16/library/shelve.html#module-shelve): [shelve основана на pickle и поэтому не подходит для работы с ненадёжными источниками](https://python-all.ru/3.16/library/shelve.html#shelve-security)19- [`ssl`](https://python-all.ru/3.16/library/ssl.html#module-ssl): [вопросы безопасности SSL/TLS](https://python-all.ru/3.16/library/ssl.html#ssl-security)20- [`subprocess`](https://python-all.ru/3.16/library/subprocess.html#module-subprocess): [вопросы безопасности подпроцессов](https://python-all.ru/3.16/library/subprocess.html#subprocess-security)21- [`tempfile`](https://python-all.ru/3.16/library/tempfile.html#module-tempfile): [mktemp устарел из-за уязвимости к состояниям гонки](https://python-all.ru/3.16/library/tempfile.html#tempfile-mktemp-deprecated)22- [`xml`](https://python-all.ru/3.16/library/xml.html#module-xml): [безопасность XML](https://python-all.ru/3.16/library/xml.html#xml-security)23- [`zipfile`](https://python-all.ru/3.16/library/zipfile.html#module-zipfile): [злонамеренно подготовленные .zip-файлы могут привести к исчерпанию дискового пространства](https://python-all.ru/3.16/library/zipfile.html#zipfile-resources-limitations)2425Параметр командной строки [`-I`](https://python-all.ru/3.16/using/cmdline.html#cmdoption-I) можно использовать для запуска Python в изолированном режиме. Когда его использовать нельзя, параметр [`-P`](https://python-all.ru/3.16/using/cmdline.html#cmdoption-P) или переменная окружения [`PYTHONSAFEPATH`](https://python-all.ru/3.16/using/cmdline.html#envvar-PYTHONSAFEPATH) могут использоваться, чтобы не добавлять потенциально небезопасный путь к [`sys.path`](https://python-all.ru/3.16/library/sys.html#sys.path), такой как текущий каталог, каталог скрипта или пустая строка.26