Какие недостатки и риски могут возникнуть при хранении токенов в memcached?

Хранение токенов в memcached и использование паролей и логинов в открытом виде в коде имеет несколько значительных недостатков и рисков. Рассмотрим их подробнее:

### Недостатки и риски хранения токенов в memcached:

1. **Отсутствие шифрования**:
   - Токены хранятся в памяти в открытом виде, что делает их уязвимыми для перехвата при доступе к памяти сервера.

2. **Уязвимость к атакам**:
   - Если сервер с memcached будет скомпрометирован, злоумышленник сможет получить доступ к токенам и использовать их для несанкционированного доступа.

3. **Риск сессии**:
   - Если массив токенов не очищается должным образом, это может привести к ситуации, когда старые или неактивные токены продолжают существовать и могут быть использованы злоумышленниками.

4. **Непредсказуемое время жизни**:
   - memcached может сбрасывать данные по мере исчерпания выделенной памяти, что может привести к потере токенов и необходимости повторной аутентификации пользователей.

5. **Отсутствие механизмов защиты**:
   - memcached не предлагает инструментов для контроля доступа, что означает, что любой, имеющий доступ к памяти, может увидеть хранимые данные.

### Потенциальные недостатки хранения паролей и логинов в открытом виде в коде:

1. **Уязвимость к утечкам кода**:
   - Если код будет случайно опубликован (например, через системы контроля версий), все учётные данные окажутся доступными для злоумышленников.

2. **Сложность модификации**:
   - Внесение изменений в пароли и логины требует изменения исходного кода и повторного его развертывания, что может увеличить риск ошибок и сделать процесс обновления более сложным.

3. **Компрометация доступа**:
   - В случае утечки или несанкционированного доступа к коду, злоумышленник сможет сразу использовать логины и пароли для компрометации системы.

4. **Отсутствие центрального управления**:
   - Управление учётными данными в коде не позволяет легко применять политику безопасности (например, регулярную смену паролей).

5. **Необходимость учета среды**:
   - Хранение паролей в коде делает сложным переход к различным средам (разработка, тестирование, продакшен), каждая из которых может требовать различных учётных данных.

### Рекомендации:

- **Шифрование**: Используйте защищенные методы для хранения токенов, такие как хэширование или шифрование с ключами.
- **Безопасные хранилища**: Рассмотрите возможность использования решений для управления секретами (например, HashiCorp Vault, AWS Secrets Manager или аналогичных).
- **Изолированное хранилище**: Используйте базы данных с контролем доступа для хранения токенов и секретов, а не кеширующие системы.
- **Никогда не храните пароли в открытом виде**: Вместо этого используйте средства для безопасного управления паролями и учётными данными.

Вы столкнулись с проблемой "бумажки на мониторе", то есть не озаботились безопасностью данных на должном уровне, и теперь пытаетесь вместо того чтобы более серьезно отнестись к общей безопасности, найти 1 "универсальное" решение, которого нет. <br/> <br/> В общем случае достаточно вынести чувствительные данные выше документ рут и исключить файлы с ними из репозитория, внеся в гитигнор. Все остальные телодвижения никак не повышают общую безопасность, и любые меры сокрытия реквизитов упираются в небезопасность хранения проекта, дырявость самого сервера или недостаточную изоляцию чувствительных данных от кода. <br/> <br/> Основным общепринятым "правильным" методом хранения паролей на сегодня является использование .env файла, он лежит выше документ рут, имеет атрибут скрытого по умолчанию в линукс системах, а так же большинство IDE автоматически вносят такие файлы в гитигнор, то есть сразу удовлетворяет большинству требований.