<!-- canonical: https://helperx.app/pt-br/docs/security -->
<!-- lang: pt-br -->
<!-- updated: 2026-07-16 -->

# Security

Auth tokens e credenciais de proxy são criptografados em repouso com AES-256-GCM. A chave vem de uma variável de ambiente no servidor.

## O que é criptografado

Dados criptografados em repouso:

- **X auth tokens** — cookie de sessão usado para acessar o X.
- **Proxy credentials** — string do proxy, incluindo usuário e senha.

Settings de módulos, display names e outros dados não sensíveis ficam em texto puro.

## Como funciona

Valores sensíveis são criptografados com **AES-256-GCM** (criptografia autenticada) antes de gravar. Cada valor tem IV aleatório próprio — o mesmo token gera ciphertexts diferentes.

A descriptografia só ocorre em runtime quando um módulo precisa da credencial (ex.: chamada à API do X).

## Configuração da chave

A chave deriva da env **X_TOKEN_ENC_KEY** no servidor. Qualquer string serve.

Se a variável não existir, a criptografia fica desligada e as credenciais vão em texto puro. Um warning é logado no startup.

## Dados legados

Credenciais em texto puro (de antes da criptografia) são lidas normalmente e criptografadas no próximo save. Sem migração manual.

## Escopo de segurança

**O que protege:** dumps de banco e acesso casual ao disco. Token cifrado sem a chave não serve.

**O que não protege:** atacante com execução de código no servidor pode ler a env e descriptografar tudo. Baseline padrão de SaaS.

Guia do operador: [Token & Session Security for X Tools](https://helperx.app/pt-br/blog/x-auth-token-security-automation). Nunca cole cookies ou auth tokens em chats.
