Security
JA
Auth token と proxy 資格情報は AES-256-GCM で at rest 暗号化。鍵はサーバー環境変数から導出します。
何が暗号化されるか
at rest で暗号化:
- X auth tokens — X アクセス用の session cookie。
- Proxy credentials — ユーザー/パスワードを含む proxy 文字列。
モジュール設定・display name など非機密データは平文で保存されます。
仕組み
機密値は保存前に AES-256-GCM(認証付き暗号)で暗号化。値ごとにランダム IV を使うため、同じ token でも ciphertext は毎回異なります。
復号はモジュールが資格情報を必要とする実行時のみ(例: X API 呼び出し)。
鍵の設定
鍵はサーバーの X_TOKEN_ENC_KEY 環境変数から導出。任意の文字列で可。
未設定の場合、暗号化は無効で資格情報は平文保存。起動時に一度 warning を出します。
レガシーデータ
暗号化導入前の平文資格情報はそのまま読み、次回保存時に自動暗号化。手動マイグレーションは不要。
セキュリティ範囲
守るもの: DB ダンプや偶発的なディスクアクセス。鍵なしでは暗号化 token は意味を持ちません。
守らないもの: サーバー上でコード実行できる攻撃者は env を読み復号できる。SaaS の標準 baseline です。
オペレーター向け: Token & Session Security for X Tools。cookie や auth token をチャットに貼らないでください。