Rails mailer / smtp - потенциальная проблема безопасности?

Question

При использовании настроек SMTP в Rails для отправки электронной почты вам необходимо указать имя пользователя и пароль для отправки электронной почты из вашей учетной записи.Но не опасно ли вводить пароль в учетную запись электронной почты сайта в виде простого текста в вашем коде?Есть ли более безопасный способ сделать это?

config.action_mailer.smtp_settings = {
        :address => "address_here",
        :port => 'port_#_here',
        :domain => "example.com",
        :authentication => :plain,
        :user_name => "user@example.com",
        :password => "foobar",
        :enable_starttls_auto => true
  }

Answer 1

Это, вероятно, не является большой проблемой для среды разработки, поскольку вы можете использовать сервер, который не требует аутентификации, или какую-то фиктивную учетную запись.

Для производственной среды шаблон Iчаще всего видели / использовали для хранения информации, такой как имена пользователей, пароли и т. д., в самой среде, например:

config.action_mailer.smtp_settings = {
        :address => "address_here",
        :port => 'port_#_here',
        :domain => "example.com",
        :authentication => :plain,
        :user_name => ENV['EMAIL_USERNAME'],
        :password => ENV['EMAIL_PASSWORD'],
        :enable_starttls_auto => true
  }

Таким образом, злоумышленник должен получить доступ к вашей рабочей коробке, чтобы получитьИнформация.Если вы, например, развертываете свое приложение в Heroku и используете для своей электронной почты плагин Sendgrid - плагин заставит вас следовать этому шаблону.