Sécurité

Les jetons d'authentification et les informations d'identification Proxy sont chiffrés au repos avec AES-256-GCM. La clé de chiffrement est dérivée d'une variable d'environnement du serveur.

Qu'est-ce qui est crypté

Les données suivantes sont chiffrées au repos :

  • X jetons d'authentification — votre cookie de session utilisé pour accéder à X.
  • Proxy identifiants — la chaîne Proxy comprenant le nom d'utilisateur et le mot de passe.

Les paramètres du module, les noms d'affichage et autres données non sensibles sont stockés en texte brut.

Comment ça marche

Les valeurs sensibles sont chiffrées à l'aide AES-256-GCM (cryptage authentifié) avant d'être écrit dans le stockage. Chaque valeur obtient son propre vecteur d'initialisation aléatoire, donc chiffrer le même jeton deux fois Proinduit des textes chiffrés différents.

Le déchiffrement se produit au moment de l'exécution uniquement lorsqu'un module a besoin des informations d'identification (par exemple, pour effectuer un appel API vers X).

Configuration des clés

La clé de chiffrement est dérivée du X_TOKEN_ENC_KEY variable d'environnement sur le serveur. Vous pouvez utiliser n’importe quelle chaîne comme valeur clé.

Si la variable d'environnement n'est pas définie, le cryptage est désactivé et les informations d'identification sont stockées en texte brut. Un avertissement est enregistré une fois au démarrage.

Données héritées

Si le système rencontre des informations d'identification en texte clair (avant l'activation du cryptage), elles sont lues normalement et automatiquement cryptées lors de la prochaine sauvegarde. Aucune migration manuelle n’est nécessaire.

Portée de sécurité

Ce que ce Pro détecte : Vidages de base de données et accès occasionnel au disque. Les jetons d'authentification chiffrés n'ont aucun sens sans la clé de chiffrement.

Ce que cela ne Prone détecte pas : Un attaquant disposant d'un accès en exécution de code au serveur peut lire la variable d'environnement et tout décrypter. Il s'agit de la référence Standard pour les applications SaaS.

Guide de l'opérateur : Sécurité des jetons et des sessions pour X Tools. Ne collez jamais de cookies ou de jetons d'authentification dans les applications de chat.