Nous ne considérons pas la divulgation d’informations aux administrateurs comme un problème, mais oui, cela devrait être marqué comme sensible pour éviter de s’afficher inutilement, tout comme par exemple google_oauth2_client_secret.
C’est une correction simple :
Il y a un compromis entre le secret et la commodité ; ne pas permettre de démasquer les secrets dans l’interface utilisateur ne fournirait qu’une illusion d’inaccessibilité, il existe d’autres moyens pour un administrateur de les lire facilement dans la base de données.
Cependant, tous les secrets (tous les paramètres du site en fait) peuvent être spécifiés via l’environnement, ils ne s’afficheront alors pas dans l’interface d’administration.
(n’est-ce pas @pmusaraj ?)