Come gestire i dati sensibili come le chiavi API e le password DB in produzione

Naviga le tue risposte
1

Sto configurando un ambiente di sviluppo e produzione per un'applicazione web. Utilizza alcune API remote per le quali è necessaria una chiave per accedervi. Non vuoi quelli nel tuo codice, così come le credenziali del database.

Ho svolto alcune ricerche e ho appreso che è possibile memorizzarle in un file che non si impegna nel repository. È sicuro farlo su un server di produzione (Ubuntu 16.04)? Garantito che il server è stato temprato correttamente? O dovrebbero essere prese ulteriori misure? O è il modo sbagliato di fare tutto insieme?

    
posta NG. 20.10.2017 - 12:37
fonte

1 risposta

0

Conferma. Sicuramente quei segreti non dovrebbero essere codificati nel codice. La cosa migliore sarebbe avere un file separato con i segreti crittografati. Questo file deve essere archiviato su un'area che non è accessibile dal server delle applicazioni (al di fuori del suo ambito).

In base alla crittografia dei dati nel file di configurazione, sfortunatamente, non ho familiarità con le funzionalità di Ubuntu. Sono uno sviluppatore .NET e c'era un meccanismo presentato da .NET Framework che permetteva di crittografare parti del file di configurazione (web.config) usando una chiave definita memorizzata sulla macchina (MachineKey)

    
risposta data 20.10.2017 - 14:15
fonte

Leggi altre domande sui tag

I nomi delle chiavi JSON sono vulnerabili agli attacchi di codifica alternativa (CAPEC-267)? reverse_tcp non funziona con tor