Rails mailer/smtp - 潜在的なセキュリティ上の問題？

Question

電子メールを送信するためにRailsでSMTP設定を使用する場合は、アカウントから電子メールを送信するためのユーザー名とパスワードを入力する必要があります。しかし、パスワードをサイトの電子メールアカウントにプレーンテキストでコードに記述するのは少し危険ですか？これを行うより安全な方法はありますか？

config.action_mailer.smtp_settings = { 
     :address => "address_here", 
     :port => 'port_#_here', 
     :domain => "example.com", 
     :authentication => :plain, 
     :user_name => "user@example.com", 
     :password => "foobar", 
     :enable_starttls_auto => true 
    } 

Answer 1

あなたが認証または何らかのダミーのアカウントを必要としないサーバーを使用している可能性があり、これは、おそらく、開発環境の問題の多くではありません。

本番環境のために、私が最も頻繁に使用される/見ているパターンは、環境自体例えば以内にユーザー名、パスワードなどのような情報を維持することです：

config.action_mailer.smtp_settings = { 
     :address => "address_here", 
     :port => 'port_#_here', 
     :domain => "example.com", 
     :authentication => :plain, 
     :user_name => ENV['EMAIL_USERNAME'], 
     :password => ENV['EMAIL_PASSWORD'], 
     :enable_starttls_auto => true 
    } 

、攻撃者がアクセス権を獲得する必要があります。この方法この情報を得るためには、あなた自身の制作ボックスそのもの。たとえば、あなたのアプリをHerokuにデプロイして、Sendgridプラグインを使っているなら、そのプラグインはそのパターンに従うようにします。