core: replace option sec.crypt.passphrase_file by sec.crypt.passphrase_command (closes #141)

The command is used to read the passphrase on startup, for example using your
favorite password manager.

Note: only the passphrase is read from the program, the secured data is still
stored encrypted in sec.conf and handled by WeeChat itself.

3 files changed, 53 insertions, 36 deletions

diff --git a/doc/de/includes/autogen_user_commands.de.adoc b/doc/de/includes/autogen_user_commands.de.adoc
index 64320b43e..c3b45fe01 100644
--- a/doc/de/includes/autogen_user_commands.de.adoc
+++ b/doc/de/includes/autogen_user_commands.de.adoc
@@ -1860,38 +1860,40 @@ Standardmäßig werden alle Konfigurationsdateien beim Ausführen des /quit Befe
          set <name> <value>
          del <name>
 
-passphrase: ändern der Passphrase (ohne Passphrase, werden die Daten in der Datei sec.conf in Klartext gesichert)
-   -delete: löscht Passphrase
-   decrypt: entschlüsselt Daten nachträglich (dies passiert nur falls die Passphrase beim Start nicht angegeben wurde)
-  -discard: verwirft alle verschlüsselten Daten
-       set: fügt eine schutzwürdige Information hinzu oder ändert eine bestehende
-       del: entfernt eine schutzwürdige Information
-
-Ohne Angabe von Argumenten wird ein neuer Buffer geöffnet und die schutzwürdigen Informationen können dort eingesehen werden.
-
-Tastenbefehle für den secure-Buffer:
-  alt+v Werte werden in Klartext angezeigt bzw. verborgen
-
-Wird eine Passphrase verwendet (Daten liegen verschlüsselt vor), fragt WeeChat beim Start die Passphrase ab.
-Setzt man die Umgebungsvariable "WEECHAT_PASSPHRASE", kann die Eingabeaufforderung der Passphrase beim Programmstart vermieden werden (diese Variable wird von WeeChat auch beim /upgrade verwendet). Es ist auch möglich in der Option sec.crypt.passphrase_file eine Datei anzugeben die die Passphrase beinhaltet (siehe /help sec.crypt.passphrase_file)
-
-schutzwürdige Daten mit dem Format ${sec.data.xxx} können wie folgt genutzt werden:
-  - Befehl /eval.
-  - Argument in der Befehlszeile für "--run-command"
-  - Einstellung weechat.startup.command_{before|after}_plugins
-  - weitere Optionen die Passwörter oder sensible Daten beinhalten (zum Beispiel: proxy, irc server und relay); nutze /help mit der entsprechenden Option um zu überprüfen ob die Daten evaluiert werden.
-
-Beispiele:
-  festlegen eine Passphrase:
-    /secure passphrase Dies ist meine Passphrase
-  verschlüsselt freenode SASL Passwort:
-    /secure set freenode meinPasswort
+passphrase: change the passphrase (without passphrase, data is stored as plain text in file sec.conf)
+   -delete: delete passphrase
+   decrypt: decrypt data still encrypted (it happens only if passphrase was not given on startup)
+  -discard: discard all data still encrypted
+       set: add or change secured data
+       del: delete secured data
+
+Without argument, this command displays secured data in a new buffer.
+
+Keys on secure buffer:
+  alt+v  toggle values
+
+When a passphrase is used (data encrypted), it is asked by WeeChat on startup.
+It is possible to set environment variable "WEECHAT_PASSPHRASE" to prevent the prompt (this same variable is used by WeeChat on /upgrade), or to set option sec.crypt.passphrase_command to read the passphrase from the output of an external command like a password manager (see /help sec.crypt.passphrase_command).
+
+Secured data with format ${sec.data.xxx} can be used in:
+  - command /eval
+  - command line argument "--run-command"
+  - options weechat.startup.command_{before|after}_plugins
+  - other options that may contain a password or sensitive data (for example proxy, irc server and relay); see /help on the options to check if they are evaluated.
+
+Examples:
+  set a passphrase:
+    /secure passphrase this is my passphrase
+  use program "pass" to read the passphrase on startup:
+    /set sec.crypt.passphrase_command "pass show weechat/passphrase"
+  encrypt freenode SASL password:
+    /secure set freenode mypassword
     /set irc.server.freenode.sasl_password "${sec.data.freenode}"
-  verschlüsselt oftc Passwort für nickserv:
-    /secure set oftc meinPasswort
+  encrypt oftc password for nickserv:
+    /secure set oftc mypassword
     /set irc.server.oftc.command "/msg nickserv identify ${sec.data.oftc}"
-  Alternativbefehl um den eigenen Nick zu ghosten:
-    /alias add ghost /eval /msg -server freenode nickserv ghost meinNick ${sec.data.freenode}
+  alias to ghost the nick "mynick":
+    /alias add ghost /eval /msg -server freenode nickserv ghost mynick ${sec.data.freenode}
 ----
 
 [[command_weechat_set]]
diff --git a/doc/de/includes/autogen_user_options.de.adoc b/doc/de/includes/autogen_user_options.de.adoc
index 0321f5d9b..7b167fe93 100644
--- a/doc/de/includes/autogen_user_options.de.adoc
+++ b/doc/de/includes/autogen_user_options.de.adoc
@@ -16,8 +16,8 @@
 ** Werte: sha224, sha256, sha384, sha512
 ** Standardwert: `+sha256+`
 
-* [[option_sec.crypt.passphrase_file]] *sec.crypt.passphrase_file*
-** Beschreibung: pass:none[Pfad zu einer Datei die die Passphrase enthält um damit schutzwürdige Daten zu ver- und entschlüsseln. Diese Einstellung findet nur Anwendung, wenn die Datei sec.conf gelesen wird. Es wird auch nur die erste Zeile eingelesen. Diese Datei wird nur verwendet, falls die Umgebungsvariable "WEECHAT_PASSPHRASE" nicht genutzt wird (die Umgebungsvariable besitzt eine höhere Priorität). Sicherheitshinweis: Es ist anzuraten dieser Datei nur für die eigene Person Leserechte zu gewähren und die Datei nicht im Heimatverzeichnis von WeeChat zu sichern (zum Beispiel im /home/ Order); Beispiel: "~/.weechat-passphrase"]
+* [[option_sec.crypt.passphrase_command]] *sec.crypt.passphrase_command*
+** Beschreibung: pass:none[read the passphrase from the output of this command (only the first line is used and it must not contain any extra character); this option is used only when reading file sec.conf and if the environment variable "WEECHAT_PASSPHRASE" is not set (the environment variable has higher priority); example with password-store: "pass show weechat/passphrase"]
 ** Typ: Zeichenkette
 ** Werte: beliebige Zeichenkette
 ** Standardwert: `+""+`
diff --git a/doc/de/weechat_user.de.adoc b/doc/de/weechat_user.de.adoc
index 312ed50bf..9aaf87ddc 100644
--- a/doc/de/weechat_user.de.adoc
+++ b/doc/de/weechat_user.de.adoc
@@ -2237,11 +2237,26 @@ da ansonsten die Daten in Klartext gesichert werden.
 /secure passphrase Dies ist meine Passphrase
 ----
 
-Wenn eine Passphrase genutzt wird fragt WeeChat diese beim Programmstart
-ab (bei einem `/upgrade` ist dies nicht der Fall).
+// TRANSLATION MISSING
+===== Passphrase on startup
 
-Die Passphrase kann auch in einer Datei gesichert werden (siehe Option
-<<option_sec.crypt.passphrase_file,sec.crypt.passphrase_file>>).
+When a passphrase is set, WeeChat will ask you to enter it on startup
+(but not on `/upgrade`).
+
+If you are using a password manager, you can run an external program to read
+the passphrase instead of having to type it manually on WeeChat startup. +
+For example with password-store (command `pass`):
+
+----
+/set sec.crypt.passphrase_command "pass show weechat/passphrase"
+----
+
+The program may ask you unlock your GPG key or enter another passphrase to
+read the secret. WeeChat will wait for the end of the command to read the
+passphrase on the standard output (it must be on the first line without any
+extra character). +
+If the output contains no passphrase or if it is wrong, WeeChat will then ask
+you to enter it.
 
 [[secured_data_encryption]]
 ===== Verschlüsselung