Security
PT
Auth tokens e credenciais de proxy são criptografados em repouso com AES-256-GCM. A chave vem de uma variável de ambiente no servidor.
O que é criptografado
Dados criptografados em repouso:
- X auth tokens — cookie de sessão usado para acessar o X.
- Proxy credentials — string do proxy, incluindo usuário e senha.
Settings de módulos, display names e outros dados não sensíveis ficam em texto puro.
Como funciona
Valores sensíveis são criptografados com AES-256-GCM (criptografia autenticada) antes de gravar. Cada valor tem IV aleatório próprio — o mesmo token gera ciphertexts diferentes.
A descriptografia só ocorre em runtime quando um módulo precisa da credencial (ex.: chamada à API do X).
Configuração da chave
A chave deriva da env X_TOKEN_ENC_KEY no servidor. Qualquer string serve.
Se a variável não existir, a criptografia fica desligada e as credenciais vão em texto puro. Um warning é logado no startup.
Dados legados
Credenciais em texto puro (de antes da criptografia) são lidas normalmente e criptografadas no próximo save. Sem migração manual.
Escopo de segurança
O que protege: dumps de banco e acesso casual ao disco. Token cifrado sem a chave não serve.
O que não protege: atacante com execução de código no servidor pode ler a env e descriptografar tudo. Baseline padrão de SaaS.
Guia do operador: Token & Session Security for X Tools. Nunca cole cookies ou auth tokens em chats.