सुरक्षा
प्रामाणिक टोकन और प्रॉक्सी क्रेडेंशियल को AES-256-GCM के साथ एन्क्रिप्ट किया गया है। एन्क्रिप्शन कुंजी सर्वर वातावरण चर से ली गई है।
क्या एन्क्रिप्टेड है
निम्नलिखित डेटा बाकी समय एन्क्रिप्ट किया गया है:
- एक्स प्रामाणिक टोकन - आपकी सत्र कुकी का उपयोग एक्स तक पहुंचने के लिए किया जाता है।
- Proxy क्रेडेंशियल - उपयोगकर्ता नाम और पासवर्ड सहित प्रॉक्सी स्ट्रिंग।
मॉड्यूल सेटिंग्स, डिस्प्ले नाम और अन्य गैर-संवेदनशील डेटा को प्लेनटेक्स्ट में संग्रहीत किया जाता है।
यह काम किस प्रकार करता है
संवेदनशील मानों का उपयोग करके एन्क्रिप्ट किया गया है AES-256-GCM (प्रमाणीकृत एन्क्रिप्शन) भंडारण में लिखे जाने से पहले। प्रत्येक मान को अपना स्वयं का यादृच्छिक आरंभीकरण वेक्टर मिलता है, इसलिए एक ही टोकन को दो बार एन्क्रिप्ट करने से अलग-अलग सिफरटेक्स्ट उत्पन्न होते हैं।
डिक्रिप्शन रनटाइम पर तभी होता है जब मॉड्यूल को क्रेडेंशियल की आवश्यकता होती है (उदाहरण के लिए, एक्स को एपीआई कॉल करने के लिए)।
कुंजी सेटअप
एन्क्रिप्शन कुंजी से ली गई है X_TOKEN_ENC_KEY सर्वर पर पर्यावरण चर. आप किसी भी स्ट्रिंग को मुख्य मान के रूप में उपयोग कर सकते हैं।
यदि पर्यावरण चर सेट नहीं है, तो एन्क्रिप्शन अक्षम है और क्रेडेंशियल प्लेनटेक्स्ट में संग्रहीत हैं। स्टार्टअप पर एक बार चेतावनी लॉग की जाती है।
विरासती डेटा
यदि सिस्टम को प्लेनटेक्स्ट क्रेडेंशियल्स (एन्क्रिप्शन सक्षम होने से पहले) का सामना करना पड़ता है, तो उन्हें सामान्य रूप से पढ़ा जाता है और अगले सेव पर स्वचालित रूप से एन्क्रिप्ट किया जाता है। किसी मैन्युअल माइग्रेशन की आवश्यकता नहीं है.
सुरक्षा का दायरा
यह क्या सुरक्षा करता है: डेटाबेस डंप और कैज़ुअल डिस्क एक्सेस। एन्क्रिप्शन कुंजी के बिना एन्क्रिप्टेड प्रमाणीकरण टोकन अर्थहीन हैं।
यह किस चीज़ की सुरक्षा नहीं करता: सर्वर तक कोड-निष्पादन पहुंच वाला एक हमलावर पर्यावरण चर को पढ़ सकता है और सब कुछ डिक्रिप्ट कर सकता है। यह SaaS अनुप्रयोगों के लिए मानक आधार रेखा है।
ऑपरेटर गाइड: एक्स टूल्स के लिए टोकन एवं सत्र सुरक्षा. चैट ऐप्स में कभी भी कुकीज़ या ऑथ टोकन पेस्ट न करें।