シークレット管理の一部はHTTPプロキシに任せるべき

要点

APIキーをプロキシ層で注入することで、シークレットがアプリのプロセスに一切入らない構成を実現する。

ポイント

• プロキシが外向きのリクエストをインターセプトして認証ヘッダを注入 — キーがアプリのメモリに残らない
• シークレットのローテーションを一元管理でき、URLの書き換えによってテスト時にダミーサーバへの差し替えも可能
• ヘッダ注入のためにTLS MITM（中間者）を行うこと自体が新たな攻撃面になる — 証明書の取り扱いは厳密に

ディスカッション

• [danlitt]: URLの書き換えによってテスト時にダミーサーバへ向けられる — 便利なおまけ機能
• [thewisenerd]: TLS MITMプロキシを使えば、nslookupベースのルールよりも厳格な外向き通信の制御も可能

• HTTPSリクエストにヘッダを追加するためにMITMのcertをセットアップするのは、かなり大きなセキュリティリスクだと思う

• コミュニティの意見は二分：シークレットをエレガントに分離できるという評価 vs. MITMの証明書設定が新たな攻撃面を生むという懸念。

HNで議論を読む

原文（英語）: Some secret management belongs in your HTTP proxy