هل تم حفظ كلمة مرور SMTP كنص عادي؟

الدعم تثبيت
1

مرحبًا،

أنا جديد في تثبيت Discourse، وقد قمت مؤخرًا بإعداده على خادم Digital Ocean Droplet لاستخدامه كمنتدى/صفحة مجتمع لشركتنا.

أثناء التثبيت، لاحظت أن حقل إدخال كلمة مرور SMTP غير محمي، ويتم تخزينها كنص عادي في ملف app.yml.
يبدو هذا وكأنه ثغرة أمنية محتملة. ومع ذلك، فأنا لست خبيرًا في الشبكات أو الأمان، لذا قد يكون هذا الأمر مقبولًا لعدة أسباب. ولكن من أجل إرضاء مدير تقنية المعلومات لدينا، سيساعدني فهم سبب تنفيذ الأمر بهذه الطريقة.

أعلم أن Discourse يُستخدم على نطاق واسع من قبل العديد من الشركات، لذا أشك في أن هذا الموضوع قد تم معالجته بشكل كافٍ مسبقًا.
أي مساعدة منكم تُقدَّر.

شكرًا لكم!
جيسون

2

إذا كان شخص لا تثق به لديه وصول إلى ملف app.yml، فإن كلمة مرور SMTP هي أقل ما يقلقك.

3

كيف تقترح حمايته؟

التجزئة (Hashes) هي عملية أحادية الاتجاه، لا يمكن عكسها لاستعادة البيانات الأصلية.

يتم تجزئة كلمات مرور المستخدمين لأنها لا تحتاج إلى أن تكون قابلة للعكس. يُستشار تجزئة كلمة المرور في قاعدة البيانات فقط عندما يحاول المستخدم تسجيل الدخول. يتم مقارنة تجزئة كلمة المرور المقدمة مع تجزئة كلمة المرور المخزنة مقابل سجل ذلك المستخدم.

من الشائع نسبيًا تخزين كلمات مرور SMTP ومفاتيح API كنص عادي. يجب نقلها في شكلها الأصلي، لذا فإن تجزئتها ستمنع استخدامها. إذا قبل الطرف الثالث تجزئة كلمة المرور، فلن تكون هناك فائدة في التجزئة كوسيلة للحماية.

كما ذكر جايس أعلاه، إذا تم اختراق سلامة الخادم المادي الخاص بك وتم الوصول إلى ملف app.yml، فإن لديك مشاكل أكبر بكثير يجب القلق بشأنها مقارنة بضرورة إعادة تعيين كلمة مرور SMTP.

هنا تحذير مهم: لا ينبغي استخدام كلمة مرور SMTP في أي مكان آخر — ولكن هذا ليس محددًا لـ Discourse. إنه ممارسة أمنية جيدة لجميع الأنظمة وكل حساب.

4

كما قال جاي، إذا تمكن شخص ما من الوصول إلى ملف app.yml الخاص بك، فهذه مشكلة أكبر. هذا يعني أنهم على الأرجح يمتلكون وصولًا كاملاً بصلاحيات الجذر (root) إلى الخادم الخاص بك، بما في ذلك قاعدة بيانات الإنتاج.

أفضل ممارسة هنا هي التأكد من أمان الخادم الخاص بك.

5

مرحباً بالجميع - شكراً على ردودكم.

أتفق أن حماية الخادم هي خط الدفاع الأول. ومع ذلك، في هذه الحالة الأمر خارج عن سيطرتي لأنني قمت بتثبيت Discourse على Digital Ocean Droplet.

@Stephen - شكراً للمعلومات الخلفية حول كلمات مرور SMTP. لم أكن أعرف أنه من الشائع تخزينها كنص واضح لهذا النوع من الاستخدام. كما قلت، هذا الأمر خارج نطاق خبرتي. إنه مجرد شيء لفت انتباهي، وأردت طرحه.

شكراً!
جيسون

6

ليس تمامًا :slight_smile: يمكنك تقييد تسجيل الدخول باستخدام مفتاح SSH فقط، وتشغيل جدار حماية، والتأكد من تطبيق تحديثات الأمان بانتظام. يُشكّل ذلك نسبة كبيرة من تأمين Droplet.

7

هذا صحيح. وإذا لم يكن نظام الملفات لديك مشفرًا، وهو أمر صعب التحقيق، فإنك مضطر إلى الوثوق بهم أيضًا. فهم يمتلكون وصولًا فعليًا إلى الخوادم والشبكة.

كما أوضحنا، كل ما عليك فعله هو امتلاك كلمة المرور لاستخدامها.