Stripe secret keys 没有隐藏

RGJ · 2022 年9 月 10 日 17:40

discourse subscriptions secret key 和 discourse_subscriptions_webhook_secret 的值未在插件设置中隐藏，它们在那里可见，并且在 staff action logs 中也可见。

最好将它们隐藏起来……

merefield · 2022 年9 月 10 日 17:47

你确定吗，理查德？

github.com/discourse/discourse-subscriptions

config/settings.yml

6414a1f6e


      
          plugins:
            discourse_subscriptions_enabled:
              default: false
            discourse_subscriptions_extra_nav_subscribe:
              default: false
              client: true
            discourse_subscriptions_public_key:
              default: ''
              client: true
            discourse_subscriptions_secret_key:
              default: ''
              client: false
            discourse_subscriptions_webhook_secret:
              default: ''
              client: false
            discourse_subscriptions_currency:
              client: true
              default: "USD"
              type: enum
              choices:

client: false 表明它们不会被序列化，除非你是管理员并且在管理员路由中？（否则你无法设置它们）

RGJ · 2022 年9 月 10 日 18:37

这与 client: true 无关，而是与 secret: true 有关，后者会隐藏该值（可通过图标切换）并从管理员操作日志中移除该值。所有其他设置中的密钥和密码（如 Twitter、Facebook、Google oAuth2、Discord、Github、SSO 客户端和提供商等的密钥）也是如此。

如您所见，那里没有 secret: true。

merefield · 2022 年9 月 10 日 18:39

啊，抱歉，我现在明白了为什么你把它放在 UX 里

话题		回复	浏览量
Sensitive information disclosure: OAuth2 client secret exposed in admin settings (not masked) Support oauth2	2	75	2025 年7 月 8 日
Disclosure of S3 secret access key Feature	23	5677	2018 年11 月 27 日
Secret Text Plugin Dev	7	1213	2018 年8 月 25 日
Settings and plugins installed exposed on Login Page Support	7	575	2019 年11 月 27 日
Hidden Site Settings Reference Guide Self-Hosting rails-console , advanced-setup , reference	0	1101	2024 年5 月 20 日

Stripe secret keys 没有隐藏

相关话题