Los valores de discourse subscriptions secret key y discourse_subscriptions_webhook_secret no se están enmascarando en la configuración del plugin, son visibles allí y también en los registros de acciones del personal.
Probablemente sea mejor ocultarlos…
¿Estás seguro Richard?:
client: false sugiere que no se serializan a menos que seas administrador y estés en la ruta de administrador (de lo contrario, no podrías establecerlos).
Esto no se trata de client: true, sino de secret: true, que oculta el valor (que se puede activar/desactivar con el icono 
) y que elimina el valor de los registros de acciones del personal. Este es el caso de todos los demás secretos y contraseñas en la configuración (como los secretos para Twitter, Facebook, Google oAuth2, Discord, Github, cliente y proveedor SSO, etc., etc.)
Como puede ver, secret: true no está presente allí.
Ah, lo siento, y ahora veo por qué lo pusiste en UX 
