So che è considerato sicuro se sia l'algoritmo di crittografia che la password sono nascosti in modo sicuro. Tuttavia, cosa succede se l'utente malintenzionato sa che possono essere utilizzati solo un numero di algoritmi. Quindi, quanto è sicuro in questo caso?
È una cattiva pratica includere il testo crittografato nel controllo del codice sorgente?
Se si sta crittografando un segreto del client dove deve essere decrittografato e utilizzato per accedere a un altro servizio, non è necessario esporlo a nessun sistema non attendibile, incluso il check-in al controllo del codice sorgente, poiché ciò significherebbe che le persone con accesso al sistema sarebbe in grado di ottenere l'accesso al segreto.
Anche altri processi automatizzati che eliminano il repository del codice sorgente (ad esempio gli strumenti di revisione del codice) otterrebbero l'accesso, quindi si potrebbe finire con il fatto che il segreto sia conosciuto abbastanza ampiamente e raramente è una buona idea.
Un modo per affrontare la gestione di questo tipo di segreto è archiviarli separatamente durante lo sviluppo e quindi iniettarli alla distribuzione.
Leggi altre domande sui tag encryption