Security

PT

Auth tokens e credenciais de proxy são criptografados em repouso com AES-256-GCM. A chave vem de uma variável de ambiente no servidor.

O que é criptografado

Dados criptografados em repouso:

  • X auth tokens — cookie de sessão usado para acessar o X.
  • Proxy credentials — string do proxy, incluindo usuário e senha.

Settings de módulos, display names e outros dados não sensíveis ficam em texto puro.

Como funciona

Valores sensíveis são criptografados com AES-256-GCM (criptografia autenticada) antes de gravar. Cada valor tem IV aleatório próprio — o mesmo token gera ciphertexts diferentes.

A descriptografia só ocorre em runtime quando um módulo precisa da credencial (ex.: chamada à API do X).

Configuração da chave

A chave deriva da env X_TOKEN_ENC_KEY no servidor. Qualquer string serve.

Se a variável não existir, a criptografia fica desligada e as credenciais vão em texto puro. Um warning é logado no startup.

Dados legados

Credenciais em texto puro (de antes da criptografia) são lidas normalmente e criptografadas no próximo save. Sem migração manual.

Escopo de segurança

O que protege: dumps de banco e acesso casual ao disco. Token cifrado sem a chave não serve.

O que não protege: atacante com execução de código no servidor pode ler a env e descriptografar tudo. Baseline padrão de SaaS.

Guia do operador: Token & Session Security for X Tools. Nunca cole cookies ou auth tokens em chats.