Около 11 часов назад мы обновились до версии Discourse 2.5.0.beta5. После этого я получил сообщение от учётной записи system:
Мы обнаружили, что у вас есть следующие учётные данные, которые существуют уже 2 года или более
github_client_secret - 26.08.2016 20:07:03 UTC
Эти учётные данные являются конфиденциальными, и мы рекомендуем сбрасывать их каждые 2 года, чтобы избежать последствий возможных будущих утечек данных
Это немного удивительно. Хотя я являюсь администратором сайта, я не использую учётные данные GitHub для входа.
- Что такое github_client_secret? Где он используется?
- Как сбросить его значение?
Сегодня утром мои навыки поиска в Google не на высоте. Буду признателен за любые ссылки. Большое спасибо.
Да, это была новая и экспериментальная функция, и мы выпустили её немного слишком рано. Приношу свои извинения.
Это скорее информационное сообщение, не требующее непосредственных действий.
Мы смягчаем это и по умолчанию отключаем функцию для данного выпуска, но считаем, что она имеет долгосрочную ценность в плане предупреждения пользователей о учётных данных, которые использовались совместно в течение многих лет.
В данном случае, если вы не используете аутентификацию через GitHub для входа пользователей, то есть опцию «Войти через GitHub», вы можете удалить эти настройки. Однако если ваши пользователи используют GitHub для входа, вам, вероятно, всё ещё это нужно — при желании вы можете сменить секретный ключ через веб-сайт GitHub.
Ах, экспериментальная функция, которая просочилась наружу. Ничего страшного.
Я не уверен, как это сделать, поэтому было бы очень полезно предоставить ссылку на GitHub, объясняющую, как «… при желании сменить секрет через веб-сайт GitHub».
Спасибо.