#100 closed defect (fixed)
Passwörter für die Tür nicht im Klartext speichern!
| Reported by: | Jens Kubieziel | Owned by: | Tür |
|---|---|---|---|
| Priority: | blocker | Component: | Infrastruktur/Tür |
| Keywords: | Cc: | trac.kraut.space-01@… |
Description
Das Passwort für die Tür wird als GET-Request übertragen. Wenn man in die Logs des Webservers schaut und nach dem String secret sucht, finden sich dort diverse Passwörter. Derzeit findet zgrep 14 Einträge. Die Einträge sehen wie folgt aus:
0.0.0.0 - - [08/Oct/2017:21:06:42 +0200] "GET /?secret=z805… HTTP/2.0" …
Das sollte dringend behoben werden. Passwörter sollten nirgends(!) im Klartext gespeichert werden.
Change History (6)
comment:1 by , 6 years ago
| Cc: | added |
|---|
comment:2 by , 6 years ago
comment:4 by , 6 years ago
Es ist möglich bei nginx selektiv das log zu deaktivieren. Bei mir steht dazu sowas hier im http-Block:
map $arg_secret $loggable {
# is used to disable logging if a secret is submitted via get
"" 1; # variable is not set or empty
default 0; # variable is set
}
access_log /var/log/nginx/access.log main if=$loggable; # only logs if $loggable is not 0
Das ist nicht getestet ;-)
Ich glaube $arg_secret wird von nginx gesetzt. Theoretisch könnte man es auch so bauen, dass mit einem log_format ohne GET gelogged wird.
comment:5 by , 6 years ago
| Resolution: | → fixed |
|---|---|
| Status: | new → closed |
Note:
See TracTickets
for help on using tickets.
Es zeigt sich, dass das Ticket #49 aktueller und wichtiger nicht sein könnte.