È generalmente sicuro (e conforme) registrare una traccia dello stack?

Naviga le tue risposte
1

Lavoro su siti Web finanziari che mantengono la conformità PCI-DSS, FDIC / FFIEC e ISO-27000. Inoltre, siamo grandi fan di OWASP:)

I nostri siti Web registrano gli errori in chiaro in un file flat contenuto nel server web. Questi siti gestiscono molte PII di alto valore.

Mi chiedo se sia generalmente sicuro e conforme e non dovrei pensarci, per registrare la traccia dello stack quando viene lanciata un'eccezione? Ci sono delle domande che dovrei pormi prima di includerlo? O è un gioco da ragazzi?

    
posta John Wu 15.11.2016 - 19:44
fonte

1 risposta

1

Stacktraces sarebbe davvero prezioso per gli sviluppatori per comprendere i bug nella tua applicazione (o per gli amministratori in caso di attacco), ma non dovresti registrare informazioni sensibili come nomi utente, password o informazioni simili. Questo perché se lo fai e i tuoi registri cadono in mani cattive, il danno potrebbe essere molto peggiore di quanto alcuni utenti malintenzionati possano comprendere alcuni bug

Inoltre, i registri devono essere archiviati in una partizione diversa da quella del server web, per evitare una possibile dichiarazione di sicurezza. Sotto determinati attacchi i file di registro aumenteranno drasticamente, il che potrebbe riempire la partizione del server web e impedirne il funzionamento.

consiglia anche una buona politica di backup per prevenire ciò     
risposta data 15.11.2016 - 22:23
fonte

Leggi altre domande sui tag

Anti-manomissione / verifica della firma a mano Host che invia enormi quantità di pacchetti TCP / IP con flag RA: parte di DDoS Attack?