Closed daicyan closed 4 years ago
初めましてTwitterでお見かけしたので、覗かせていただきました。
面白そうなツールなので試験的にpullしてコードを眺めてみたのですが、上記場所にSkwayのAPIキーと思われるものが参照可能な状態になっています。 SkywayのAPIキーはドメインに紐づけて利用する必要がありAPIキーだけでは悪用しづらいので大した事故にはならないと思いますが、念のため一度キーを再生成して、config.tomlをgitignoreに入れて公開されているconfig.tomlはAPIキーを無効にしたconfig.toml.sampleなどに変更してはいかがでしょうか?
現状、GitHub Pagesを使用して公開してしまっており、その都合でsoundrabbit.github.ioドメインで制限をかけたAPIキーも一緒にGitHubにpushしています。今後、自前でサーバーを用意する場合はそのようにしたいと考えています。
初めましてTwitterでお見かけしたので、覗かせていただきました。
面白そうなツールなので試験的にpullしてコードを眺めてみたのですが、上記場所にSkwayのAPIキーと思われるものが参照可能な状態になっています。 SkywayのAPIキーはドメインに紐づけて利用する必要がありAPIキーだけでは悪用しづらいので大した事故にはならないと思いますが、念のため一度キーを再生成して、config.tomlをgitignoreに入れて公開されているconfig.tomlはAPIキーを無効にしたconfig.toml.sampleなどに変更してはいかがでしょうか?