ความปลอดภัย
โทเค็นการตรวจสอบสิทธิ์และข้อมูลรับรองพร็อกซีจะถูกเข้ารหัสเมื่อไม่ได้ใช้งานด้วย AES-256-GCM คีย์การเข้ารหัสได้มาจากตัวแปรสภาพแวดล้อมของเซิร์ฟเวอร์
มีการเข้ารหัสอะไรบ้าง
ข้อมูลต่อไปนี้ได้รับการเข้ารหัสเมื่อไม่มีการใช้งาน:
- โทเค็นการรับรองความถูกต้อง X — คุกกี้เซสชั่นของคุณที่ใช้ในการเข้าถึง X
- Proxy ข้อมูลรับรอง — สตริงพร็อกซีรวมถึงชื่อผู้ใช้และรหัสผ่าน
การตั้งค่าโมดูล ชื่อที่แสดง และข้อมูลที่ไม่ละเอียดอ่อนอื่นๆ จะถูกจัดเก็บไว้ในข้อความธรรมดา
มันทำงานอย่างไร
ค่าที่ละเอียดอ่อนได้รับการเข้ารหัสโดยใช้ AES-256-GCM (การเข้ารหัสรับรองความถูกต้อง) ก่อนที่จะเขียนลงที่เก็บข้อมูล แต่ละค่าจะได้รับเวกเตอร์การเริ่มต้นแบบสุ่มของตัวเอง ดังนั้นการเข้ารหัสโทเค็นเดียวกันสองครั้งจะสร้างไซเฟอร์เท็กซ์ที่แตกต่างกัน
การถอดรหัสจะเกิดขึ้นที่รันไทม์เฉพาะเมื่อโมดูลต้องการข้อมูลรับรอง (เช่น เพื่อทำการเรียก API ไปที่ X)
การตั้งค่าคีย์
คีย์การเข้ารหัสได้รับมาจาก X_TOKEN_ENC_KEY ตัวแปรสภาพแวดล้อมบนเซิร์ฟเวอร์ คุณสามารถใช้สตริงใดๆ เป็นค่าคีย์ได้
หากไม่ได้ตั้งค่าตัวแปรสภาพแวดล้อม การเข้ารหัสจะถูกปิดใช้งานและข้อมูลรับรองจะถูกจัดเก็บไว้ในข้อความธรรมดา คำเตือนจะถูกบันทึกหนึ่งครั้งเมื่อเริ่มต้นระบบ
ข้อมูลเดิม
หากระบบพบข้อมูลประจำตัวที่เป็นข้อความธรรมดา (ตั้งแต่ก่อนเปิดใช้งานการเข้ารหัส) ข้อมูลเหล่านั้นจะถูกอ่านตามปกติและเข้ารหัสโดยอัตโนมัติในการบันทึกครั้งถัดไป ไม่จำเป็นต้องทำการโยกย้ายด้วยตนเอง
ขอบเขตการรักษาความปลอดภัย
สิ่งนี้จะช่วยปกป้อง: การดัมพ์ฐานข้อมูลและการเข้าถึงดิสก์แบบไม่เป็นทางการ โทเค็นการตรวจสอบสิทธิ์ที่เข้ารหัสจะไม่มีความหมายหากไม่มีคีย์เข้ารหัส
สิ่งนี้ไม่ได้ป้องกัน: ผู้โจมตีที่มีสิทธิ์เข้าถึงการเรียกใช้โค้ดไปยังเซิร์ฟเวอร์สามารถอ่านตัวแปรสภาพแวดล้อมและถอดรหัสทุกอย่างได้ นี่คือพื้นฐานมาตรฐานสำหรับแอปพลิเคชัน SaaS
คู่มือการใช้งาน: การรักษาความปลอดภัยโทเค็นและเซสชันสำหรับ X Tools. อย่าวางคุกกี้หรือโทเค็นการตรวจสอบสิทธิ์ลงในแอปแชท