PasswordPusher v1.58.0版本发布：新增安全Cookie配置选项

项目简介

PasswordPusher是一个开源的密码共享工具，它允许用户安全地共享敏感信息（如密码、密钥等）。其核心设计理念是"阅后即焚"——接收者查看密码后，该密码会自动销毁，确保敏感信息不会长期留存。项目采用Ruby on Rails框架开发，支持Docker部署，广泛应用于企业内网、开发团队等需要临时共享敏感信息的场景。

版本亮点

本次发布的v1.58.0版本主要引入了全新的secure_cookies安全配置选项，这是对系统安全性的重要增强。该选项通过多项Cookie安全策略的组合，有效防范多种Web安全威胁。

安全Cookie配置详解

功能概述

secure_cookies配置启用后，系统将实施以下三项关键安全策略：

1. HTTPS专属传输：Cookie仅通过HTTPS加密连接传输，防止明文传输时的中间人攻击
2. JavaScript访问限制：通过HttpOnly标志阻止JavaScript访问Cookie，防范XSS攻击
3. 同源策略强化：SameSite属性确保Cookie仅在同站点请求中使用，防御CSRF攻击

技术实现原理

在Ruby on Rails框架中，这些安全特性通过会话配置实现：

Rails.application.config.session_store :cookie_store,
  secure: Rails.application.config.force_ssl,
  httponly: true,
  same_site: :strict

• secure: true确保Cookie只在HTTPS连接中传输
• httponly: true阻止JavaScript通过document.cookie API访问
• same_site: :strict严格限制Cookie仅在同站点请求中发送

配置方式

用户可以通过两种方式启用此功能：

1. 环境变量方式：设置PWP__SECURE_COOKIES=true
2. 配置文件方式：在settings.yml中设置secure_cookies: true

兼容性考虑

考虑到不同部署环境的差异，该功能默认为禁用状态。主要兼容性考量包括：

1. HTTP环境：内网或测试环境可能使用HTTP协议
2. 代理配置：某些反向代理配置可能导致HTTPS检测异常
3. 跨站点需求：部分企业集成场景可能需要跨站点Cookie

生产环境部署时，建议在确认HTTPS工作正常后启用此功能。

版本其他更新

功能改进

• 任务控制组件升级至最新版本，提升后台任务处理稳定性

依赖更新

• rqrcode gem从2.2.0升级至3.1.0，带来二维码生成性能优化和新特性支持

部署建议

对于使用Docker的用户，可以通过以下命令快速体验新版本：

docker run -d -p 5100:5100 pglombardo/pwpush:1.58.0

生产环境部署时，建议配合以下最佳实践：

1. 配置有效的SSL证书
2. 启用HTTP严格传输安全(HSTS)
3. 定期轮换会话加密密钥
4. 监控Cookie相关错误日志

安全建议

对于处理高敏感信息的场景，建议：

1. 启用secure_cookies配置
2. 设置合理的密码过期策略
3. 实施IP访问限制
4. 启用双因素认证(如企业版支持)

该版本的发布体现了PasswordPusher项目对安全性的持续关注，为用户的敏感信息共享提供了更强大的保护机制。