Προς το περιεχόμενο
  • 0
Συνδεθείτε  
Newbie18

ApiKey

Ερώτηση

Καλησπέρα, δουλεύω πάνω σε ένα δικό μου πρότζεκτ για εξάσκηση και το ανέβασα στο github αλλά επειδή χρησιμοποιώ firebase στο αρχείο config.js υπάρχει το ApiKey. Όταν ανέβηκε μου ρθε ενα μειλ απο το gitguardian ότι έχει γίνει compromise sensitive information (το repo είναι public). Υπάρχει κάποιος κίνδυνος αν κάποιος μπορεί να δει το ApiKey? Αν ναι, πως θα μπορούσα να το κρύψω αλλά κάνοντας κάποιος clone το προτζεκτ να μπορεί να το κάνει εύκολα reproduce?

Ευχαριστώ πολύ εκ των προτέρων!

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες

4 απαντήσεις σε αυτή την ερώτηση

Προτεινόμενες αναρτήσεις

  • 0
3 λεπτά πριν, Newbie18 είπε

Καλησπέρα, δουλεύω πάνω σε ένα δικό μου πρότζεκτ για εξάσκηση και το ανέβασα στο github αλλά επειδή χρησιμοποιώ firebase στο αρχείο config.js υπάρχει το ApiKey. Όταν ανέβηκε μου ρθε ενα μειλ απο το gitguardian ότι έχει γίνει compromise sensitive information (το repo είναι public). Υπάρχει κάποιος κίνδυνος αν κάποιος μπορεί να δει το ApiKey? Αν ναι, πως θα μπορούσα να το κρύψω αλλά κάνοντας κάποιος clone το προτζεκτ να μπορεί να το κάνει εύκολα reproduce?

Ευχαριστώ πολύ εκ των προτέρων!

Ε μπορει να εχει προσβαση ο καθένας. Αν το εχεις private οκ μικρο το κακο. Μπορεις να το βαλεις ως env variable και με αλλους τροπους

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

στο stackoverflow που εψαξα λεει οτι δεν αποτελει security risk αλλα και οτι ειναι απαραιτητο για τον αλλον να το ξερει για να υπαρχει interaction με το project, θα μπορουσες να τεκμηριωσεις την αποψη σου? καθως απο οτι βλεπω γκουγκλαροντας καποιοι λενε οτι δεν ειναι safe και αλλοι οτι ειναι και μιας που δουλευω πρωτη φορα με αυτες τις τεχνολογιες δεν εχω καποια εμπειρια για να προβω σε ασφαλη συμπερασματα

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0
Δημοσ. (επεξεργασμένο)

 Βαλε στο readme οτι πρεπει ο καθε ενας που θα το κανει clone/fork/whatever θα πρεπει να φτιαξει δικο του key και βαλε ενα link που να οδηγει στη firebase.

Εαν δεν μπορεις να καταστρεψεις το κλειδι απο τη κονσολα της firebase τοτε κανε delete το repo στο github, μαθε να βαζεις ευαισθητα δεδομενα της εφαρμογης σε process.env για να κανεις τη δουλεια σου τοπικα/production με ασφαλεια (<-σχετικο αυτο). 

ΠΟΤΕ ευαισθητα δεδομενα στα repos/μεσα στον κωδικα, παντα σε .env.

Ποτε δε ξερεις για ποιο σκοπο μπορει να χρησιμοποιηθει το key σου και ενδεχομενως να βρεις το μπελα σου.

Επεξ/σία από Predatorkill

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε έναν λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι εύκολο!

Εγγραφείτε για έναν νέο λογαριασμό

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
Συνδεθείτε  
×
×
  • Δημιουργία νέου...

Χρήσιμες πληροφορίες

Με την περιήγησή σας στο insomnia.gr, αποδέχεστε τη χρήση cookies που ενισχύουν σημαντικά την εμπειρία χρήσης.