Chiến lược giữ thông tin bí mật như khóa API ngoài tầm kiểm soát nguồn?

Tôi đang làm việc trên một trang web cho phép người dùng đăng nhập bằng thông tin đăng nhập OAuth từ Twitter, Google, v.v. Để làm điều này, tôi phải đăng ký với các nhà cung cấp khác nhau này và nhận khóa API siêu bí mật mà tôi có để bảo vệ với các cam kết chống lại các bộ phận cơ thể khác nhau. Nếu khóa của tôi bị gank, phần đó sẽ bị giật.

Khóa API phải di chuyển với nguồn của tôi, vì nó được sử dụng trong thời gian chạy để thực hiện các yêu cầu xác thực. Trong trường hợp của tôi, khóa phải tồn tại trong ứng dụng trong tệp cấu hình hoặc trong chính mã. Đó không phải là vấn đề khi tôi xây dựng và xuất bản từ một máy duy nhất. Tuy nhiên, khi chúng ta ném kiểm soát nguồn vào hỗn hợp, mọi thứ trở nên phức tạp hơn.

Vì tôi là một thằng khốn rẻ tiền, tôi rất thích sử dụng các dịch vụ kiểm soát nguồn miễn phí như TFS trên đám mây hoặc GitHub. Điều này để lại cho tôi một câu hỏi hóc búa:

Làm cách nào tôi có thể giữ cho cơ thể của mình nguyên vẹn khi các khóa API nằm trong mã của tôi và mã của tôi có sẵn trong kho lưu trữ công cộng?

Tôi có thể nghĩ ra một số cách để xử lý việc này, nhưng không có cách nào thỏa mãn.

• Tôi có thể xóa tất cả thông tin cá nhân khỏi mã và chỉnh sửa lại sau khi triển khai. Đây sẽ là một nỗi đau nghiêm trọng để thực hiện (tôi sẽ không nêu chi tiết theo nhiều cách) và không phải là một lựa chọn.
• Tôi có thể mã hóa nó. Nhưng khi tôi phải giải mã nó, bất kỳ ai có nguồn đều có thể tìm ra cách để làm như vậy. Vô nghĩa.
• Tôi có thể trả tiền cho kiểm soát nguồn tư nhân. LOL j / k tiêu tiền? Xin vui lòng.
• Tôi có thể sử dụng các tính năng ngôn ngữ để tách biệt thông tin nhạy cảm với phần còn lại của nguồn và do đó giữ nó khỏi kiểm soát nguồn. Đây là những gì tôi đang làm bây giờ, nhưng nó có thể dễ dàng bị làm hỏng bằng cách kiểm tra nhầm trong tệp bí mật.

Tôi thực sự đang tìm kiếm một cách bảo đảm để đảm bảo rằng tôi không chia sẻ thông tin cá nhân của mình với thế giới (ngoại trừ snapchat) sẽ hoạt động trơn tru thông qua phát triển, gỡ lỗi và triển khai và cũng có thể dễ dàng thực hiện. Điều này là hoàn toàn không thực tế. Vậy thực tế tôi có thể làm gì?

_{Chi tiết kỹ thuật: VS2012, C # 4.5, kiểm soát nguồn sẽ là dịch vụ TF hoặc GitHub. Hiện đang sử dụng một lớp một phần để tách các khóa nhạy cảm trong một tệp .cs riêng biệt sẽ không được thêm vào kiểm soát nguồn. Tôi nghĩ GitHub có thể có lợi thế vì .gitignore có thể được sử dụng để đảm bảo rằng tệp lớp một phần không được kiểm tra, nhưng tôi đã làm hỏng nó trước đó. Hy vọng cho một "ồ, vấn đề chung, đây là cách bạn làm điều đó" nhưng tôi có thể phải giải quyết cho "điều đó không hút nhiều như nó có thể có" ,: /}

Đừng để thông tin bí mật của bạn vào mã của bạn. Đặt nó vào một tệp cấu hình được đọc bởi mã của bạn khi khởi động. Các tệp cấu hình không nên được đặt trong kiểm soát phiên bản, trừ khi chúng là "mặc định của nhà máy", và sau đó chúng không nên có bất kỳ thông tin riêng tư nào.

Xem thêm câu hỏi Kiểm soát phiên bản và tệp cấu hình cá nhân để biết cách thực hiện tốt điều này.

Bạn có thể đặt tất cả các khóa riêng / được bảo vệ làm biến môi trường hệ thống. Tệp cấu hình của bạn sẽ trông như thế này:

private.key=#{systemEnvironment['PRIVATE_KEY']}

Đây là cách chúng tôi xử lý các trường hợp đó và không có gì đi vào mã. Nó hoạt động rất tốt kết hợp với các tập tin và hồ sơ tài sản khác nhau. Chúng tôi sử dụng các tệp thuộc tính khác nhau cho các môi trường khác nhau. Trong môi trường phát triển cục bộ của chúng tôi, chúng tôi đặt các khóa phát triển trong các tệp thuộc tính để đơn giản hóa việc thiết lập cục bộ:

private.key=A_DEVELOPMENT_LONG_KEY

Cách Git tinh khiết

• .gitignore bao gồm tập tin với dữ liệu riêng tư
• Sử dụng một chi nhánh địa phương, trong đó bạn thay thế TEMPLATEbằngDATA
• Sử dụng bộ lọc smudge / clean, trong đó tập lệnh của bộ lọc (cục bộ) thực hiện thay thế hai chiều TEMPLATE<->DATA

Cách thủy

• MQ-patch (es) trên đầu mã giả, thay thế TEMPLATEbằng DATA( thay đổi là công khai, bản vá là riêng tư)
• Mở rộng từ khóa với các từ khóa được thiết kế đặc biệt (chỉ mở rộng trong thư mục làm việc của bạn )

Cách thức bất khả tri

• Thay thế các từ khóa như là một phần của quá trình xây dựng / triển khai

Tôi đặt bí mật vào (các) tệp được mã hóa mà sau đó tôi cam kết. Cụm mật khẩu được cung cấp khi hệ thống khởi chạy hoặc được lưu trong tệp nhỏ mà tôi không cam kết. Thật tuyệt khi Emacs sẽ vui vẻ quản lý các tệp được mã hóa này. Ví dụ: tệp init của emacs bao gồm: (tải "secret.el.gpg"), chỉ hoạt động - nhắc tôi nhập mật khẩu vào những lần hiếm hoi đó khi tôi khởi động trình chỉnh sửa. Tôi không lo lắng về việc ai đó phá vỡ mã hóa.

Điều này rất cụ thể cho Android / Gradle nhưng bạn có thể xác định các khóa trong gradle.propertiestệp toàn cầu của mình nằm trong user home/.gradle/. Điều này cũng hữu ích vì bạn có thể sử dụng các thuộc tính khác nhau tùy thuộc vào buildType hoặc hương vị tức là API cho dev và khác nhau để phát hành.

gradle.properies

MY_PRIVATE_API_KEY=12356abcefg

xây dựng. nâng cấp

buildTypes {
        debug{
            buildConfigField("String", "GOOGLE_VERIFICATION_API_KEY", "\"" + MY_PRIVATE_API_KEY +"\"")
            minifyEnabled false
            applicationIdSuffix ".debug"
            }
        }

Trong mã bạn tham khảo như thế này

String myAPI = BuildConfig.GOOGLE_VERIFICATION_API_KEY;

Bạn không nên phân phối khóa đó với ứng dụng của mình hoặc lưu trữ nó trong kho mã nguồn. Câu hỏi này là hỏi làm thế nào để làm điều đó, và đó không phải là những gì thường được thực hiện.

Ứng dụng web di động

Đối với Android / iPhone, thiết bị nên yêu cầu KEY từ dịch vụ web của riêng bạn khi ứng dụng được chạy lần đầu tiên. Chìa khóa sau đó được lưu trữ ở một vị trí an toàn. Nếu nhà xuất bản thay đổi hoặc thu hồi khóa. Dịch vụ web của bạn có thể xuất bản một khóa mới.

Ứng dụng web được lưu trữ

Khách hàng sử dụng giấy phép phần mềm của bạn sẽ phải nhập khóa thủ công khi lần đầu tiên định cấu hình phần mềm. Bạn có thể cung cấp cho tất cả mọi người cùng một khóa, các khóa khác nhau hoặc họ có được riêng của họ.

Mã nguồn được công bố

Bạn lưu trữ mã nguồn của bạn trong một kho lưu trữ công cộng nhưng không phải là KEY. Trong cấu hình của tệp, bạn thêm dòng * phím địa điểm ở đây * . Khi nhà phát triển sử dụng mã nguồn của bạn, họ tạo một bản sao của sample.cfgtệp và thêm khóa riêng của họ.

Bạn không giữ config.cfgtệp của bạn được sử dụng để phát triển hoặc sản xuất trong kho lưu trữ.

Sử dụng các biến môi trường cho những thứ bí mật thay đổi cho mỗi máy chủ.

http://en.wikipedia.org/wiki/En Môi_variable

Làm thế nào để sử dụng chúng là phụ thuộc ngôn ngữ.

Tôi nghĩ rằng đây là một vấn đề mọi người đã gặp một số rắc rối tại một số điểm.

Đây là một quy trình công việc tôi đã sử dụng, có thể làm việc cho bạn. Nó sử dụng .gitignore với một twist:

1. Tất cả các tệp cấu hình đi trong một thư mục đặc biệt (tệp cấu hình w / mẫu - tùy chọn)
2. Tất cả các tệp cấu hình được bao gồm trong .gitignore, để chúng không bị công khai
3. Thiết lập một máy chủ gitolite (hoặc máy chủ git yêu thích của bạn) trên một hộp riêng
4. Thêm một repo với tất cả các tập tin cấu hình trong máy chủ riêng
5. Thêm một tập lệnh để sao chép tập tin cấu hình vào thư mục đặc biệt trong repo chính (tùy chọn)

Bây giờ, bạn có thể sao chép repo cấu hình cho bất kỳ hệ thống phát triển và triển khai nào. Chỉ cần chạy tập lệnh để sao chép các tập tin vào đúng thư mục và bạn đã hoàn thành.

Bạn vẫn nhận được tất cả kẹo GitHub, chia sẻ mã của mình với mọi người và dữ liệu nhạy cảm không bao giờ có trong repo chính, vì vậy chúng không được công khai. Chúng vẫn chỉ là một cái kéo và một bản sao từ bất kỳ hệ thống triển khai nào.

Tôi sử dụng hộp 15 $ / năm cho máy chủ git riêng, nhưng bạn cũng có thể thiết lập một hộp tại nhà, theo yêu cầu giá rẻ ;-)

PS: Bạn cũng có thể sử dụng một mô hình con git ( http://git-scm.com/docs/git-submodule ), nhưng tôi luôn quên các lệnh, vì vậy các quy tắc nhanh và bẩn!

Sử dụng mã hóa, nhưng cung cấp khóa chính khi khởi động, làm mật khẩu tại bàn điều khiển, trong một tệp chỉ người dùng của quá trình có thể đọc hoặc từ kho lưu trữ khóa do hệ thống cung cấp như khóa Mac OS hoặc lưu trữ khóa Windows.

Để giao hàng liên tục, bạn sẽ muốn các khóa khác nhau được ghi ở đâu đó. Cấu hình nên được phân ranh giới từ mã, nhưng nó rất có ý nghĩa để giữ nó dưới sự kiểm soát sửa đổi.

3 chiến lược, chưa được đề cập (?)

Khi đăng ký hoặc trong móc kiểm tra trước VCS

• tìm kiếm các chuỗi có entropy cao, ví dụ- phát hiện-bí mật
• tìm kiếm regex cho các mẫu khóa API nổi tiếng. Các khóa AKIA * của AWS là một ví dụ, git- secret là một công cụ dựa trên điều đó. Ngoài ra, tên biến như 'mật khẩu' với gán liên tục.
• tìm kiếm những bí mật đã biết - bạn biết những bí mật của mình, tìm kiếm văn bản cho chúng. Hoặc sử dụng một công cụ, tôi đã viết bằng chứng về khái niệm này .

Các chiến lược đã được đề cập

• lưu trữ trong tập tin bên ngoài cây nguồn
• có nó trong cây nguồn, nhưng nói với VCS bỏ qua nó
• biến môi trường là một biến thể của việc lưu trữ dữ liệu bên ngoài cây nguồn
• chỉ không cung cấp những bí mật có giá trị cho các nhà phát triển

Giữ thông tin riêng tư ngoài tầm kiểm soát nguồn của bạn. Tạo một mặc định không được tải để phân phối và để VCS của bạn bỏ qua cái thực. Quá trình cài đặt của bạn (cho dù là thủ công, cấu hình / xây dựng hoặc trình hướng dẫn) sẽ xử lý việc tạo và điền tệp mới. Tùy chọn sửa đổi quyền trên tệp để đảm bảo chỉ người dùng được yêu cầu (máy chủ web?) Có thể đọc được.

Những lợi ích:

• Không giả định thực thể phát triển == thực thể sản xuất
• Không cho rằng tất cả các cộng tác viên / người đánh giá mã đều đáng tin cậy
• Ngăn chặn những lỗi dễ dàng bằng cách giữ nó ngoài tầm kiểm soát của phiên bản
• Dễ dàng tự động cài đặt với cấu hình tùy chỉnh cho QA / bản dựng

Nếu bạn đang làm điều này và đang vô tình kiểm tra nó, hãy thêm nó vào dự án của bạn .gitignore. Điều này sẽ làm cho nó không thể làm lại.

Có rất nhiều vạn quân Git miễn phí xung quanh cung cấp kho tư nhân. Mặc dù bạn không bao giờ nên phiên bản thông tin đăng nhập của mình, bạn cũng có thể có giá rẻ và có repos riêng. ^ _ ^

Thay vì có khóa OAuth được lưu trữ dưới dạng dữ liệu thô ở bất cứ đâu, tại sao bạn không chạy chuỗi thông qua một số thuật toán mã hóa và lưu trữ dưới dạng băm muối? Sau đó sử dụng một tập tin cấu hình để khôi phục nó trong thời gian chạy. Bằng cách đó, khóa không được lưu trữ ở bất cứ đâu, cho dù nó được lưu trữ trên hộp phát triển hay chính máy chủ.

Bạn thậm chí có thể tạo một API sao cho máy chủ của bạn tự động tạo khóa API được băm và băm mới trên cơ sở mỗi yêu cầu, theo cách đó, thậm chí nhóm của bạn không thể nhìn thấy nguồn OAuth.

Chỉnh sửa: Có thể thử Thư viện mã hóa Javascript của Stanford , nó cho phép một số mã hóa / giải mã đối xứng khá an toàn.