Stripeのシークレットキーが隠されていません

RGJ · 2022 年 9 月 10 日午後 5:40

discourse subscriptions secret key および discourse_subscriptions_webhook_secret の値がプラグイン設定でマスクされず、そこに表示され、スタッフアクションログにも表示されています。

おそらく、それらを非表示にする方が良いでしょう…

merefield · 2022 年 9 月 10 日午後 5:47

リチャード、本当に？:

github.com/discourse/discourse-subscriptions

config/settings.yml

6414a1f6e


      
          plugins:
            discourse_subscriptions_enabled:
              default: false
            discourse_subscriptions_extra_nav_subscribe:
              default: false
              client: true
            discourse_subscriptions_public_key:
              default: ''
              client: true
            discourse_subscriptions_secret_key:
              default: ''
              client: false
            discourse_subscriptions_webhook_secret:
              default: ''
              client: false
            discourse_subscriptions_currency:
              client: true
              default: "USD"
              type: enum
              choices:

client: false は、管理画面で（設定できないため）管理者で管理画面にいる場合を除き、シリアライズされないことを示唆していますか？

RGJ · 2022 年 9 月 10 日午後 6:37

これは client: true についてではなく、secret: true についてです。これは値をマスクし（アイコンで切り替え可能）、設定内の他のすべてのシークレットやパスワード（Twitter、Facebook、Google oAuth2、Discord、Github、SSOクライアントおよびプロバイダーなどのシークレットなど）と同様に、スタッフのアクションログから値を削除します。

ご覧のとおり、secret: true はそこにはありません。

merefield · 2022 年 9 月 10 日午後 6:39

ああ、すみません、これで UX に入れた理由がわかりました

トピック		返信	表示
Sensitive information disclosure: OAuth2 client secret exposed in admin settings (not masked) Support oauth2	2	75	2025 年 7 月 8 日
Disclosure of S3 secret access key Feature	23	5677	2018 年 11 月 27 日
Secret Text Plugin Dev	7	1213	2018 年 8 月 25 日
Settings and plugins installed exposed on Login Page Support	7	575	2019 年 11 月 27 日
Hidden Site Settings Reference Guide Self-Hosting rails-console , advanced-setup , reference	0	1101	2024 年 5 月 20 日

Stripeのシークレットキーが隠されていません

関連トピック