Mots de passe dans le code source

[svergeylen]

Dans database.yml et dans seed.rb il y a des mots de passe. Comment faire pour les virer et que l'appli marche encore ?

[svergeylen]

Pas d'idée ?

[dvergeylen]

Si si 😉

• Mettre les logins et passwords dans config/secrets.yml
• Si fichier non trouvé, soit s'arrêter avec message d'erreur expliquant l'usage attendu (mieux), soit générer liste de user avec password généré aléatoirement:

  ('a'..'z').to_a.shuffle[0,8].join

[svergeylen]

Dans ce cas, ils seront visibles dans secrets.yml ;-)

[dvergeylen]

config/secrets.yml ne devrait jamais être versionné, même si rails en laisse le choix à l'utilisateur :

https://github.com/rails/rails/pull/13388 https://github.com/rails/rails/pull/13394 https://github.com/rails/rails/pull/14403

https://richonrails.com/articles/the-rails-4-1-secrets-yml-file https://rails.devcamp.com/dissecting-rails-5/implementing-version-control/how-to-update-gitignore-file-securely-store-secret-credentials

"secrets"!