Vor etwa 11 Stunden haben wir auf Discourse 2.5.0.beta5 aktualisiert. Anschließend erhielt ich eine Nachricht vom System-Konto mit folgendem Inhalt:
Wir haben festgestellt, dass Sie folgende Anmeldedaten besitzen, die 2 Jahre oder älter sind:
github_client_secret - 2016-08-26 20:07:03 UTC
Diese Anmeldedaten sind sensibel. Wir empfehlen, sie alle 2 Jahre zurückzusetzen, um die Auswirkungen möglicher zukünftiger Datenlecks zu vermeiden.
Das ist etwas überraschend. Obwohl ich Administrator der Seite bin, verwende ich keine GitHub-Anmeldedaten zum Einloggen.
- Was ist das github_client_secret? Wo wird es verwendet?
- Wie setze ich seinen Wert zurück?
Meine Google-Suchkenntnisse sind heute Morgen nicht sehr ausgeprägt. Jegliche Links wären sehr hilfreich. Vielen Dank.
Ja, dies war ein neues und experimentelles Feature, das wir etwas zu früh veröffentlicht haben. Entschuldigung.
Dies ist eher eine informative Mitteilung, die keine direkte Aktion erfordert.
Wir dämpfen es und schalten es für diese Version standardmäßig aus, aber wir glauben, dass es langfristig sinnvoll ist, um Benutzer vor jahrealten geteilten Anmeldedaten zu warnen.
Ich denke, in diesem Fall können Sie diese Einstellungen entfernen, wenn Sie keine GitHub-Authentifizierung für Ihre Benutzeranmeldungen verwenden, also nicht „Mit GitHub anmelden“. Wenn Ihre Benutzer sich jedoch über GitHub anmelden, möchten Sie dies wahrscheinlich beibehalten – Sie können das Geheimnis bei Bedarf über die GitHub-Website ändern.
Ah, die experimentelle Funktion, die versehentlich veröffentlicht wurde. Kein Problem.
Ich bin mir nicht sicher, wie das funktioniert. Es wäre also sehr hilfreich, wenn du einen Link zu GitHub bereitstellen könntest, der erklärt, wie man „… das Geheimnis bei Bedarf über die GitHub-Website wechselt.