Ich habe eine Rails-App, die seit einiger Zeit live läuft, und ich plane, sie in naher Zukunft zu öffnen. Ich frage mich, wie gefährlich es ist, den Sitzungsschlüsselspeicher in der Quellcodeverwaltung geheim zu halten, während die App aktiv ist.
Wenn es gefährlich ist, wie gehen die Leute normalerweise mit diesem Problem um? Ich vermute, dass es am einfachsten ist, die Zeichenfolge in eine Textdatei zu verschieben, die vom SCM ignoriert wird, und sie später einzulesen.
Nur aus Gründen der Klarheit spreche ich darüber:
%Vor%Und während wir zum Thema sind, gibt es noch etwas in einer Standard-Rails-App, das beim Öffnen einer Live-App geschützt werden sollte?
Drehe die Frage um. Würden Sie einen geheimen Schlüssel aus dem gerade heruntergeladenen Projekt eines anderen Benutzers wiederverwenden? Probaby nicht, und andere intelligente Benutzer Ihres Codes werden auch nicht. Böswillige Benutzer haben dann einen Schlüssel, der als Angriff auf Ihrer Hauptseite verwendet werden kann, sowie gegen Benutzer, die faul sind, den Schlüssel nicht zu ändern.
Andere Konfigurationsdateien, die Sie vielleicht haben, die nicht geteilt werden sollten, schließen database.yml, s3.yml, amazon_s3.yml, etc. ein. Wenn Sie es nicht an einen Fremden mailen würden, behalten Sie es nicht in Ihrem scm, wenn Sie Entfessle deinen Code der Welt.
Ich würde das in eine Konfigurationsdatei schreiben. Sie werden wahrscheinlich trotzdem einige Konfigurationseinstellungen benötigen. Warum sollten Sie es nicht dort ablegen und einen Kommentar hinzufügen, der geändert werden sollte, wenn der Benutzer die Software installiert?
Ein Beispielcode und einige Erfahrungen zur Arbeit mit bestehenden Sitzungen, wenn Sie eine bereits existierende Anwendung aktualisieren, finden Sie in Michael Hartls Blogpost Sicherheitsproblem mit geheimen Rails-Sitzungsschlüsseln .
Tags und Links ruby-on-rails git open-source deployment