パスワードとアクセストークン
(2020/6/15)
これはもともとftpなど昔のネットワークツールの設定ファイルのようだ
sshの秘密鍵は
~/.ssh/id_rsa のようなところに格納されている S3のパスワードは
~/.s3cfg に格納されている こういうのは、
~/.google のようなファイルにGoogleのパスワードを書いているようなものである そんな方法でGoogleのパスワードを管理してる人がいるとは思えないが、何故かHerokuやsshやS3だと平然とそういう運用がされているのは不思議である
「パスワード」と「秘密鍵」や「アクセストークン」は違うものだと思われているのだろうか?
アクセストークンとかHerokuのパスワードとかが平文でローカルマシンに格納されてて問題ないのであれば、AmazonやGoogleのパスワードが平文でローカルマシンに格納されてても問題ないことになる
こういう運用に関する常識のようなものは「思いこみ」が多いのではないだろうか?
パスワードを平文でセーブするのは絶対駄目だが、アクセストークンだの秘密鍵だのはOK、みたいな誤解である
秘密鍵を平文で保存するのがOKなのならば、Amazonのパスワードを平文で保存しても同じだと思うが
結論としては、こういうのは全部駄目だと思う
パスワード的なものを平文でローカルファイルに書いておくのはすべてやめてしまいたい
パスワードに限らず、公開できない秘密のファイルはすべて、ローカルファイルに置くのはやめた方が良いと思う