Twitter ha rivelato che le sue password sono state smascherate nei log interni. Ma correggimi se ho torto, le password non vengono mai smascherate, vero?
es. se il testo in chiaro è "password", viene memorizzato come "#masked". Durante l'autenticazione, "password" è mascherata su "#masked", e viene verificato che mascherato == memorizzato.
Quindi in che modo alcuni processi interni hanno finito per smascherarli?
I hanno speculato sui modi questo potrebbe accadere sul mio blog , ma il nocciolo della questione è che la password viene ricevuta dal server come testo in chiaro. (Sì, è in un flusso TLS, ma è decrittografato prima di essere trasferito al livello dell'applicazione.) È molto probabile che una sorta di codice di debug sia stato accidentalmente abilitato e che si verifichi la registrazione della richiesta HTTP, un RPC tra microservizi o qualche altro forma di prodotto intermedio.
Probabilmente non si trattava di "registrare la password", ma di "registrare le richieste JSON serializzate per i servizi di back-end" e uno di questi servizi è il back-end di autenticazione.
Non è così. La password è mascherata sui server di Twitter, il che significa che prima che siano mascherati, sono in testo normale. Twitter ha registrato le password nel registro prima che fossero mascherate. Pertanto il log conteneva le password non mascherate.
Leggi altre domande sui tag passwords password-management