Opened 5 years ago

Closed 5 years ago

Last modified 5 years ago

#100 closed defect (fixed)

Passwörter für die Tür nicht im Klartext speichern!

Reported by: Jens Kubieziel Owned by: Tür
Priority: blocker Component: Infrastruktur/Tür
Keywords: Cc: trac.kraut.space-01@…

Description

Das Passwort für die Tür wird als GET-Request übertragen. Wenn man in die Logs des Webservers schaut und nach dem String secret sucht, finden sich dort diverse Passwörter. Derzeit findet zgrep 14 Einträge. Die Einträge sehen wie folgt aus:

0.0.0.0 - - [08/Oct/2017:21:06:42 +0200] "GET /?secret=z805… HTTP/2.0" …

Das sollte dringend behoben werden. Passwörter sollten nirgends(!) im Klartext gespeichert werden.

Change History (6)

comment:1 by Felix Kästner, 5 years ago

Cc: trac.kraut.space-01@… added

comment:2 by Jens Kubieziel, 5 years ago

Es zeigt sich, dass das Ticket #49 aktueller und wichtiger nicht sein könnte.

comment:3 by Jens Kubieziel, 5 years ago

lycian hat das access.log zunächst deaktiviert.

comment:4 by Felix Kästner, 5 years ago

Es ist möglich bei nginx selektiv das log zu deaktivieren. Bei mir steht dazu sowas hier im http-Block:

map $arg_secret $loggable {
    # is used to disable logging if a secret is submitted via get
    ""      1; # variable is not set or empty
    default 0; # variable is set
}
    
access_log /var/log/nginx/access.log main if=$loggable; # only logs if $loggable is not 0

Das ist nicht getestet ;-)
Ich glaube $arg_secret wird von nginx gesetzt. Theoretisch könnte man es auch so bauen, dass mit einem log_format ohne GET gelogged wird.

Last edited 5 years ago by Felix Kästner (previous) (diff)

comment:5 by helix, 5 years ago

Resolution: fixed
Status: newclosed

comment:6 by helix, 5 years ago

Danke für das melden des Passwort-Leaks.

Note: See TracTickets for help on using tickets.