Je développe actuellement un plugin pour Discourse et j’ai rencontré un défi spécifique lié à la sécurité. Mon plugin nécessite de stocker et d’accéder à des données sensibles, et j’explore des moyens de garantir que ces données restent sécurisées, en particulier contre l’accès par d’autres plugins dans le même environnement Discourse.
Pourriez-vous fournir des éclaircissements ou des recommandations sur la question suivante :
Est-il possible d’isoler un plugin Discourse afin que le fichier de secrets ou les données sensibles utilisées par mon plugin ne puissent pas être lus ou accédés par d’autres plugins installés sur la même instance Discourse ? Si oui, quelles sont les meilleures pratiques ou les approches recommandées pour atteindre ce niveau de sécurité ?
Je suis particulièrement intéressé par les méthodes me permettant de stocker et d’accéder en toute sécurité à des clés de chiffrement ou à des données sensibles similaires au sein de mon plugin, sans les exposer à d’autres plugins ou à d’autres parties du système Discourse.
Merci d’avance pour votre aide et vos suggestions !
Bien sûr, en tant qu’application RoR, Discourse gère correctement l’autorisation des utilisateurs, donc, par exemple, vous ne pouvez pas accéder aux ressources d’administration en tant qu’utilisateur normal.
Mais un plugin a une portée administrative (au-delà de la phase d’initialisation principale), donc votre hypothèse de base doit être qu’il est possible pour un plugin d’accéder aux données d’un autre plugin (même si c’est très peu probable - un plugin de réactions va-t-il diffuser vos données à Facebook ?! J’en doute !! )
Il incombe à l’installateur (c’est-à-dire à l’administrateur humain) de vérifier tout le code ajouté à une instance afin qu’il n’abuse d’aucune donnée.
Si vous êtes averse au risque, ne vous contentez pas d’installer des plugins tiers que vous ne comprenez pas entièrement - limitez-vous à l’installation de base uniquement.
Mais en fin de compte, assurez-vous d’avoir un développeur RoR expérimenté dans votre personnel pour examiner tout ce qui est ajouté à une instance ?
Salut Robert, merci pour cette réponse très complète Je prendrai en considération ce que vous avez publié, je vous suis très reconnaissant pour votre aide.
)
Je prendrai en considération ce que vous avez publié, je vous suis très reconnaissant pour votre aide.