Security
DE
Auth-Tokens und Proxy-Credentials werden at rest mit AES-256-GCM verschlüsselt. Der Schlüssel stammt aus einer Server-Umgebungsvariable.
Was verschlüsselt wird
At rest verschlüsselt:
- X auth tokens — Session-Cookie für den Zugriff auf X.
- Proxy credentials — Proxy-String inkl. User und Passwort.
Modul-Settings, Display-Namen und andere nicht-sensible Daten liegen im Klartext.
So funktioniert es
Sensible Werte werden vor dem Speichern mit AES-256-GCM (authenticated encryption) verschlüsselt. Jeder Wert hat einen eigenen zufälligen IV — derselbe Token ergibt zweimal unterschiedliche Ciphertexts.
Entschlüsselung nur zur Laufzeit, wenn ein Modul die Credential braucht (z. B. X-API-Call).
Key-Setup
Der Schlüssel kommt aus der Server-Env-Variable X_TOKEN_ENC_KEY. Beliebiger String möglich.
Ohne Variable ist Verschlüsselung aus; Credentials liegen im Klartext. Beim Start gibt es einmalig ein Warning-Log.
Legacy-Daten
Klartext-Credentials (von vor der Verschlüsselung) werden normal gelesen und beim nächsten Speichern automatisch verschlüsselt. Keine manuelle Migration.
Sicherheitsumfang
Schützt: DB-Dumps und zufälligen Disk-Zugriff. Verschlüsselte Tokens ohne Key sind nutzlos.
Schützt nicht: Code-Execution auf dem Server kann die Env-Var lesen und alles entschlüsseln. Das ist SaaS-Standard-Baseline.
Operator-Guide: Token & Session Security for X Tools. Cookies und Auth-Tokens nie in Chats paste’n.