ユーザーが簡単に展開できるようにする予定の Web サイトを作成しています。彼らは私のソース コードを取得して、それを自分のサーバーにデプロイし、自分のサーバーとして実行できるようになります。
SSL や OpenID などの機能をウェブサイトに取り入れようと考えていました。ユーザーにこれらのファイル (OpenID/Twitter/Facebook クライアント キーとシークレット、または SSL 証明書など) へのアクセスを許可すると、潜在的なセキュリティ上の問題や何かが発生する可能性がありますか? 彼らはこの情報を使って何か危険なことをすることができるでしょうか?
SSLはアプリの関心事ではありません
すべてのクライアントキーとシークレットはあなた自身の責任です...私はそれらを公然と配布しません。
通常、環境からこの情報を読み取ることです。
facebook_client_key = ENV["FACEBOOK_CLIENT_KEY"]
したがって、デプロイヤーは、アプリケーションではなく、環境を構成するだけで済みます。
ユーザーに配布するファイルに、クライアントのキーやシークレットなどを追加することは避けたいと思います。彼らは理由のために秘密と呼ばれています! Facebook や Twitter の API の詳細はわかりませんが、Wordpress のスパム対策アドオンである Akismet などの製品では、特定の Wordpress インスタンスを識別するためにキーが使用されていることは確かです。
商用目的で Wordpress サイトを使用している場合は、Akismet の料金を支払う必要があります。問題は、あなたが作ったり配布したりするものによっては、あなた自身は商業目的で使用していないかもしれませんが、他の人がそれを商業目的で使用しないとは限らず、あなただけでなくそれを台無しにしてしまうことです. 、しかしあなたのソフトウェアを使用している他のすべての人のために。
キーとシークレットをアプリケーションの構成の一部にし、おそらく、ユーザーが独自のものを取得する方法についての指示を提供する必要があります。