Aggiorna metodo di crittografia della password

Ciao @everyone

Ho bisogno di implementare modifiche personalizzate a livello di codice e a livello di database nella mia applicazione Discourse Rails per soddisfare i miei requisiti specifici.

Aggiorna il metodo di crittografia della password. Attualmente, Discourse utilizza “PBKDF2” per la crittografia della password.
In base al mio requisito, devo passare a “MD5” invece di “PBKDF2”.

Ho configurato il codice nel mio ambiente locale e ho anche distribuito Discourse nell’ambiente di produzione utilizzando Docker.

Quando aggiorno il codice locale in base al mio requisito, devo ridistribuire il mio codice aggiornato nell’ambiente di produzione, ma attualmente ho impostato il file Docker ufficiale di Discourse per l’ambiente di produzione, quindi devo generare un nuovo file Docker. Come posso creare un nuovo file Docker e come posso accedere al database PostgreSQL dell’applicazione Discourse nell’ambiente di produzione?

Questo sembra un significativo declassamento della sicurezza. MD5 non è adatto per l’hashing delle password. Questa modifica non solo influirebbe su una parte critica di Discourse, ma dovresti anche mantenerla per tutte le future versioni.

Forse possiamo suggerire un approccio migliore se potessi spiegare cosa stai cercando di ottenere.

Per quanto riguarda la personalizzazione di Discourse, dai un’occhiata a Developing Discourse Plugins - Part 1 - Create a basic plugin. Il sistema dei plugin ti consente di estendere in modo sicuro le funzionalità principali.

Ho creato nuove API e devo ridistribuirle nel mio codice di produzione. Come è possibile distribuirle in Docker di produzione?

Vuoi apportare le tue modifiche in un plugin. Se vuoi fare un fork di Discourse e provare a mantenerlo separatamente, te ne pentirai amaramente, se la storia è un indicatore.

Quale problema stai cercando di risolvere con le password memorizzate come hash MD5? Come già suggerito, l’intero internet sembra concordare sul fatto che MD5 non è crittografia e non è adatto per memorizzare password.

Chiarimento: come osserva Jay (note), né MD5 né PBKDF2 sono funzioni di crittografia.

Sono entrambe funzioni di hashing. Discourse non memorizza le password.

Esatto. Anche se non ci credi, non siamo gli unici a dirlo.

Quale problema stai cercando di risolvere?

Ho bisogno di aiuto per trovare una soluzione. Devo cambiare un metodo di crittografia in ROR (Discourse). Attualmente, sto usando la crittografia MD5. Ho apportato modifiche a livello di codice nel mio ambiente locale. Come posso riflettere tali modifiche sul server live senza l’aiuto di Docker?

Attualmente, l’ambiente di produzione è configurato utilizzando la configurazione Docker.

Ecco il link seguito per configurare l’ambiente di produzione.
URL: discourse/docs/INSTALL-cloud.md at main · discourse/discourse · GitHub

Non hai ancora detto quale problema stai cercando di risolvere. Puoi dire di più su cosa risolve MD5?

Devi ancora implementare eventuali modifiche su un plugin. Hai iniziato a imparare come funzionano i plugin?

Ma scommetto che quello che vuoi davvero è far autenticare Discourse contro la tua app esistente, nel caso tu debba solo implementare discourse_connect e Discourse non avrà bisogno di conoscere le tue scelte nell’archiviazione delle password.