Security

JA

Auth token と proxy 資格情報は AES-256-GCM で at rest 暗号化。鍵はサーバー環境変数から導出します。

何が暗号化されるか

at rest で暗号化:

  • X auth tokens — X アクセス用の session cookie。
  • Proxy credentials — ユーザー/パスワードを含む proxy 文字列。

モジュール設定・display name など非機密データは平文で保存されます。

仕組み

機密値は保存前に AES-256-GCM(認証付き暗号)で暗号化。値ごとにランダム IV を使うため、同じ token でも ciphertext は毎回異なります。

復号はモジュールが資格情報を必要とする実行時のみ(例: X API 呼び出し)。

鍵の設定

鍵はサーバーの X_TOKEN_ENC_KEY 環境変数から導出。任意の文字列で可。

未設定の場合、暗号化は無効で資格情報は平文保存。起動時に一度 warning を出します。

レガシーデータ

暗号化導入前の平文資格情報はそのまま読み、次回保存時に自動暗号化。手動マイグレーションは不要。

セキュリティ範囲

守るもの: DB ダンプや偶発的なディスクアクセス。鍵なしでは暗号化 token は意味を持ちません。

守らないもの: サーバー上でコード実行できる攻撃者は env を読み復号できる。SaaS の標準 baseline です。

オペレーター向け: Token & Session Security for X Tools。cookie や auth token をチャットに貼らないでください。