Cómo manejar datos confidenciales como claves de API y contraseñas de DB en producción

Navega tus respuestas
1

Estoy configurando un entorno de desarrollo y producción para una aplicación web. Utiliza algunas API remotas para las que necesita una clave para acceder a ellas. No desea que estén en su código, así como las credenciales de la base de datos.

He investigado un poco y he aprendido que uno podría almacenarlos en un archivo que no esté comprometido con el repositorio. ¿Es seguro hacerlo en un servidor de producción (Ubuntu 16.04)? ¿Concedido que el servidor se haya endurecido correctamente? ¿O deberían tomarse medidas adicionales? ¿O es la forma incorrecta de hacerlo todo junto?

    
pregunta NG. 20.10.2017 - 12:37
fuente

1 respuesta

0

Confirmar. Seguro que esos secretos no deberían estar codificados en el código. Lo mejor sería tener un archivo separado con secretos encriptados. Este archivo debe almacenarse en alguna área a la que el servidor de aplicaciones no pueda acceder (fuera de su alcance).

De acuerdo con el cifrado de datos en el archivo de configuración, desafortunadamente, no estoy familiarizado con las características que tiene Ubuntu. Soy un desarrollador de .NET y existía un mecanismo presentado por .NET Framework que permitía cifrar partes del archivo de configuración (web.config) utilizando una clave definida almacenada en la máquina (MachineKey)

    
respondido por el Bartosz Rosa 20.10.2017 - 14:15
fuente

Lea otras preguntas en las etiquetas

¿Cómo descifrar TLS en WireShark si puedo enganchar las llamadas a la API de cifrado de la aplicación? ¿Por qué no se descubrió antes el exploit KRACK? [cerrado]