Il y a environ 11 heures, nous avons effectué la mise à niveau vers Discourse 2.5.0.beta5. J’ai ensuite reçu un message du compte system indiquant :
Nous avons détecté que vous disposez des identifiants suivants qui ont plus de 2 ans
github_client_secret - 2016-08-26 20:07:03 UTC
Ces identifiants sont sensibles et nous recommandons de les réinitialiser tous les 2 ans pour éviter tout impact en cas de futures violations de données
Cela est un peu surprenant. Bien que je sois administrateur du site, je n’utilise pas d’identifiants GitHub pour me connecter.
- Qu’est-ce que github_client_secret ? Où est-il utilisé ?
- Comment puis-je réinitialiser sa valeur ?
Ma maîtrise de Google n’est pas au top ce matin. Tout lien serait apprécié. Merci beaucoup.
Oui, il s’agissait d’une fonctionnalité nouvelle et expérimentale que nous avons déployée un peu trop tôt. Toutes nos excuses.
Il s’agit davantage d’une information qui ne nécessite aucune action directe.
Nous atténuerons cette fonctionnalité et la désactiverons par défaut pour cette version, mais nous estimons qu’elle présente un intérêt à long terme pour avertir les utilisateurs concernant des identifiants partagés vieux de plusieurs années.
Dans ce cas précis, si vous n’utilisez pas l’authentification GitHub pour les connexions de vos utilisateurs, c’est-à-dire « Se connecter avec GitHub », vous pouvez supprimer ces paramètres. En revanche, si vos utilisateurs se connectent via GitHub, vous voudrez probablement la conserver ; vous pouvez, si vous le souhaitez, renouveler le secret via le site web de GitHub.
Ah, la fonctionnalité expérimentale qui est sortie par erreur. Pas de problème.
Je ne suis pas sûr de savoir comment faire, il serait donc vraiment utile de fournir un lien vers GitHub expliquant comment « … faire tourner le secret si vous le souhaitez via le site web de GitHub ».
Merci.