Mam aplikację Rails, która działa od jakiegoś czasu i planuję otworzyć ją w najbliższej przyszłości. Zastanawiam się, jak niebezpieczne jest pozostawienie tajnego klucza sesji sesji w kontroli kodu źródłowego, gdy aplikacja działa.Czy po otwarciu źródła aplikacji Rails na żywo, pozostawienie tajnego klucza sesji w kontroli źródła jest niebezpieczne?
Jeśli to niebezpieczne, jak zwykle ludzie radzą sobie z tym problemem? Domyślam się, że najłatwiej jest po prostu przenieść ciąg do pliku tekstowego, który jest ignorowany przez SCM, i przeczytać go później.
Tak dla jasności, ja mówię o tym:
# Your secret key for verifying cookie session data integrity.
# If you change this key, all old sessions will become invalid!
# Make sure the secret is at least 30 characters and all random,
# no regular words or you'll be exposed to dictionary attacks.
ActionController::Base.session = {
:key => '_application_session',
:secret => '(long, unique string)'
}
A skoro jesteśmy przy tym temacie, jest jeszcze coś w domyślnej aplikacji Rails, które powinny być chronione, gdy otwarte pozyskiwania aplikację na żywo ?
"czy w domyślnej aplikacji Railsowej jest coś jeszcze, co powinno być chronione, gdy otwarte jest pozyskiwanie aplikacji na żywo?" 1 do tego – tybro0103