このページで分かること
- APIキー・トークンを貼ってはいけない理由(何が危険か)
- コード・ログ・.env を安全に共有する「手順」
- ありがちな漏洩パターンと対策
重要:伏字・検出は「取りこぼしゼロ」を保証できません。
最終的な共有判断はあなたの責任で行ってください。
最終的な共有判断はあなたの責任で行ってください。
危ないのは「APIキーだけ」じゃない
誤公開すると危険な情報は APIキーだけではありません。代表例は以下です。
- OpenAI / Stripe / AWS / GitHub などの各種キー
- JWT などのログイン系トークン
- Slack などのワークスペース用トークン
- .env / config の秘密値(DBパスワード、Webhook URL など)
安全に共有する最短手順(おすすめ)
- 共有したい内容(コード/ログ/.env)をコピーする
- API Key & Token Redactor に貼り付ける
- 検出する を押す
- 検出結果(件数・種類)を確認する
- コピー or TXTダウンロード で「伏字済み全文」を取得する
- その伏字済み全文だけを、GitHub / Discord / フォームなどに貼る
よくある漏洩パターン
- .env を丸ごと貼ってしまう(特に事故が多い)
- ログに Authorization ヘッダーやJWTが混ざる
- スクショにキーが映り込む(ターミナル・管理画面)
- 「一部だけ伏字」のつもりが、別の場所に残っている
安全度を上げるコツ
- 伏字済み全文を貼ったあとも、投稿前に 検索(Ctrl+F) で sk- / pk_ / rk_ / AKIA / ghp_ などを再確認
- 不要なら ログの該当行を削る(最も安全)
- 事故った可能性がある場合は 即ローテーション(キー再発行・無効化)
このツールは何をしている?
ブラウザ内で文字列パターン(正規表現)を検出し、共有向けの形に置換します。 画像やテキストをサーバーへ送信しません(ローカル処理)。
次の機能(Pro予定)
- マスキングルール指定(末尾N文字残す / 置換文字列指定)
- ローカル履歴
- より広い検出パターン