Security

DE

Auth-Tokens und Proxy-Credentials werden at rest mit AES-256-GCM verschlüsselt. Der Schlüssel stammt aus einer Server-Umgebungsvariable.

Was verschlüsselt wird

At rest verschlüsselt:

  • X auth tokens — Session-Cookie für den Zugriff auf X.
  • Proxy credentials — Proxy-String inkl. User und Passwort.

Modul-Settings, Display-Namen und andere nicht-sensible Daten liegen im Klartext.

So funktioniert es

Sensible Werte werden vor dem Speichern mit AES-256-GCM (authenticated encryption) verschlüsselt. Jeder Wert hat einen eigenen zufälligen IV — derselbe Token ergibt zweimal unterschiedliche Ciphertexts.

Entschlüsselung nur zur Laufzeit, wenn ein Modul die Credential braucht (z. B. X-API-Call).

Key-Setup

Der Schlüssel kommt aus der Server-Env-Variable X_TOKEN_ENC_KEY. Beliebiger String möglich.

Ohne Variable ist Verschlüsselung aus; Credentials liegen im Klartext. Beim Start gibt es einmalig ein Warning-Log.

Legacy-Daten

Klartext-Credentials (von vor der Verschlüsselung) werden normal gelesen und beim nächsten Speichern automatisch verschlüsselt. Keine manuelle Migration.

Sicherheitsumfang

Schützt: DB-Dumps und zufälligen Disk-Zugriff. Verschlüsselte Tokens ohne Key sind nutzlos.

Schützt nicht: Code-Execution auf dem Server kann die Env-Var lesen und alles entschlüsseln. Das ist SaaS-Standard-Baseline.

Operator-Guide: Token & Session Security for X Tools. Cookies und Auth-Tokens nie in Chats paste’n.