Sé que se considera seguro si tanto el algoritmo de cifrado como la contraseña están ocultos de manera segura. Sin embargo, si el atacante sabe que solo puede haber una serie de algoritmos utilizados. Entonces, ¿qué tan seguro es en este caso?
¿Es una mala práctica incluir texto cifrado en el control de origen?
Si está encriptando un secreto de cliente donde necesita ser descifrado y utilizado para acceder a otro servicio, no debe exponerlo a ningún sistema que no sea de confianza, incluido el control de origen, ya que eso significaría que las personas con acceso a la El sistema sería capaz de acceder al secreto.
También se podría acceder a otros procesos automatizados que funcionan fuera del repositorio de código fuente (por ejemplo, herramientas de revisión de código), por lo que podría terminar conociendo el secreto, lo que rara vez es una buena idea.
Una forma de abordar el manejo de este tipo de secreto es almacenarlos por separado durante el desarrollo y luego inyectarlos en la implementación.
Lea otras preguntas en las etiquetas encryption