`
wiisola
  • 浏览: 87377 次
  • 性别: Icon_minigender_1
  • 来自: 南京
社区版块
存档分类
最新评论

#009_过滤日志中的敏感数据

阅读更多
当我们注册用户的时候,在日志中会自动保存一些敏感的字段,比如password等。
Processing LoginController#save (for 127.0.0.1 at 2008-04-08 13:53:22) [POST]
  Session ID: b40f205b38bd05382dc8ef2f362f5d5b
  Parameters: {"user"=>{"password_confirmation"=>"aaaaaa111", "login_name"=>"sora", "display_name"=>"Sora", "password"=>"aaaaaa111"}, "commit"=>"注册", "action"=>"save", "controller"=>"login"}
  User Columns (0.054099)   SHOW FIELDS FROM users
  SQL (0.002521)   SELECT count(*) AS count_all FROM users 
  SQL (0.000291)   BEGIN
  SQL (0.125573)   INSERT INTO users (`content_type`, `pic_name`, `salt`, `hashed_password`, `topics_count`, `personality`, `im`, `login_name`, `note`, `comments_count`, `display_name`, `data`, `email`) VALUES(NULL, NULL, '-6162285980.0824992721363479', 'afac1194f166bcb791bdabb32139edbf25c179ab', 0, NULL, NULL, 'sora', NULL, 0, 'Sora', NULL, NULL)
  SQL (0.049647)   COMMIT
Redirected to http://localhost:3000/
Completed in 0.35052 (2 reqs/sec) | DB: 0.23213 (66%) | 302 Found [http://localhost/login/save]

这是一个安全问题,我们可以看到password以明文的形式存在。如何解决呢?很简单
class ApplicationController < ActionController::Base   
  filter_parameter_logging "password"   
end

这样,其中的字段就会变成"password"=>"[FILTERED]", "password_confirmation"=>"[FILTERED]"。

在这里,本来插入数据库字段中的password也是会暴露的,但是我这里用了hashed_password字段,显示的是不可逆密文,而password字段实际上是一个虚拟字段,因此不会插入数据库。

事实上,即使插入数据库语句中有明文password,我们也不用怕,因为在production环境中,SQL语句不会被保存进日志文件。
分享到:
评论

相关推荐

    nasa.rar_NASA处理过的数据集_web日志分析

    8. **隐私与合规**:在进行Web日志分析时,需要确保遵循相关的数据保护法规,如GDPR,不存储或处理敏感个人信息,尊重用户的隐私权。 综上所述,“nasa.rar”数据集为我们提供了一个宝贵的研究平台,通过深入分析,...

    Java 程序如何正确地打日志.rar_java 日志

    7. **日志管理**:在大型系统中,日志管理和分析工具(如ELK Stack:Elasticsearch、Logstash、Kibana)可以帮助收集、存储和分析日志数据,提供实时监控和报警功能。 8. **安全性**:注意不要在日志中泄露敏感信息...

    java 日志的数据脱敏的实现方法

    因此,数据脱敏是一种必要的安全措施,它通过对敏感数据进行部分替换或加密,以保护原始数据的完整性,同时确保日志仍然具有一定的可读性和分析价值。 以下是一个简单的实现策略: 1. **在Model层处理**: 一种...

    Serv-U日志分析工具(sustat)(含使用说明)

    - 为了保护用户隐私和服务器安全,分析过程中应遵循数据保护法规,仅保留必要的分析数据,避免长期存储敏感信息。 通过熟练掌握并运用Serv-U日志分析工具sustat,系统管理员能够更高效地管理和维护FTP服务器,提高...

    sgrz.zip_android_日志 android

    记录用户数据的日志可能涉及隐私问题,因此在处理敏感信息时,务必确保进行适当的脱敏处理,避免泄露用户隐私。 9. **Android应用崩溃日志** 当应用崩溃时,系统会自动生成一个crash log,包含错误堆栈信息,这...

    ECMALL数据库分析

    - **ecm_badwords**:敏感词表,用于过滤不适当的内容。 - **ecm_brand**:品牌表,存储品牌信息。 - **ecm_cart**:购物车表,记录用户的购物车状态。 - **ecm_category**:商品分类,商品的分类信息。 - **ecm_...

    使用log4j2实现日志数据脱敏

    4. **处理敏感数据** 在自定义过滤器的实现中,你可以遍历日志消息,查找并替换敏感字段。例如,可以使用正则表达式匹配用户名、密码等关键字,并用占位符替换。 四、使用插件实现脱敏 Log4j2允许通过插件系统扩展...

    logclass.rar_logclass_日志类

    5. **日志过滤**:为了提高效率,日志类往往允许设置过滤规则,只记录特定级别的日志或者满足特定条件的日志。 6. **性能优化**:对于性能敏感的应用,日志类需要尽量减少对主线程的影响。这可能通过延迟写入、批量...

    log_日志文件_

    - **匿名化和去标识化**:处理敏感数据,保护用户隐私。 综上所述,日志文件在IT领域中扮演着不可或缺的角色,从简单的调试到复杂的系统监控,都离不开它的支持。合理的日志管理策略和强大的日志分析工具能够极大...

    springBoot-java敏感词语过滤类

    在Spring Boot应用中,开发人员经常需要处理文本内容,其中包括检查和过滤可能存在的敏感词语。这个"springBoot-java敏感词语过滤类"是一个实用的工具类,用于帮助开发者实现在Java环境中对用户输入或者系统文本进行...

    Struts 2 过滤器的总结

    - **加密过滤**:对敏感数据进行加密处理,保护信息安全。 - **令牌过滤**:验证请求令牌的有效性,防止跨站请求伪造(CSRF)。 #### 实现与配置 1. **接口实现**:所有过滤器类需实现`javax.servlet.Filter`接口...

    java一些 常用 的过滤 器

    在Java编程领域,过滤器(Filters)是一种常用的设计模式,用于处理数据流或请求响应链中的特定任务。根据所提供的标题、描述以及部分模糊的内容,我们可以深入探讨Java中一些常用的过滤器类型及其应用。 ### 1. ...

    Android日志Log

    - **避免泄露敏感信息**:不要在日志中记录用户数据或敏感信息,这可能导致隐私泄露。 - **合理使用日志级别**:在调试阶段使用DEBUG和VERBOSE,在生产环境中使用INFO及以上级别。 - **限制日志长度**:Android系统...

    java_programming_manual_log_files.rar_java programming_日志

    Java编程中的日志管理是软件开发中不可或缺的一部分,它用于记录程序运行时的事件、错误信息和调试数据。Log4j作为Java中最广泛使用的日志框架之一,为开发者提供了高效且灵活的日志处理能力。本手册将深入探讨Log4j...

    基于文件系统过滤驱动的数据安全存储

    ### 基于文件系统过滤驱动的数据安全存储 #### 概述 本文介绍了一种用于Windows环境下的数据安全存储方案,该方案的核心...这种方法尤其适合需要高度保护的敏感数据存储场景,如政府机构、金融机构和企业数据中心等。

    rizhi.sh.zip_日志

    - **数据保护**:敏感信息可能存在于日志中,应确保在传输和存储过程中进行加密。 - **日志保留策略**:制定合理的日志保留规则,避免存储空间被过度占用。 总的来说,"rizhi.sh"脚本是实现多设备日志抓取的关键,...

    超简单版日志管理.rar_日志

    6. **安全性与合规性**:日志数据可能包含敏感信息,因此日志管理必须符合安全标准和法规要求,比如对日志的加密、访问控制以及合规性的审计。 7. **实时监控**:实时日志监控可以帮助快速发现异常情况,"超简单版...

    高效过滤敏感次类库

    在IT行业中,尤其是在数据安全和内容审查领域,高效地过滤敏感词汇是一项至关重要的任务。"高效过滤敏感词类库"的标题暗示了我们讨论的是一个专门用于检测和屏蔽文本中特定敏感词的软件工具或库。这个库可能采用了一...

    文件过滤驱动在网络安全终端中的应用

    - **应用场景**:文件过滤驱动可以用于文件访问控制、加密解密、日志记录、性能优化等多个方面,在企业级数据安全防护中有着广泛的应用。 ##### 2. 动态加解密技术 动态加解密是指在文件被访问时自动进行加密或...

Global site tag (gtag.js) - Google Analytics