Pull to refresh

Как банки защищают ваши персональные данные — log.txt

Information Security *
Всем добрый день.
Поскольку от владельцев сервиса ответа в разумный промежуток времени не получено, пишу тут.
Кратко суть и цель поста: log.txt — плохо. Не забывайте об этом и почаще(напр. прямо сейчас) проверяйте свои проекты.
UPD 3: В старых версиях битрикса нашелся неприятный дефолт: bitrix/php_interface/(dbconn|init).php — константа LOG_FILENAME, которая как вы и догадались, приводит к описанным проблемам.

Ссылочки: <убрано по совету НЛО>
Картиночка: <убрано по совету НЛО>, раз и два
В футере кнопочки уважаемых ADV и AIC, и не понятно, кто больше виноват(и не моя эта цель), по путям похоже, что всё-таки первые, при всём моём к ним уважении.

Очевидные утверждения:
  • логи лучше писать через одну хм..., например, функцию
  • в специально предназначенной для этого папке
  • со специальным расширением или другими признаками для простоты и универсальности блокировки доступа через веб
  • ...


И да, от метания помидоров вида *--*но прошу воздержаться, всё таки ничего критичного не слито, только имейлы ну и сикреты приложений для соцсетей.

Вкратце, в логе были SQL запросы, которые исполнились с ошибками. Из логов можно было узнать некоторые параметры сайта (секретные части ключей для соцсетей), естественно, пути с трейсом ошибки, emailы пользователей и некоторая персональная информация(Имя/фамилия, чекворд для восстановления пароля), которая может быть использована для фишинга.

UPD: 15:41 Ссылки убраны по настоятельному намёку НЛО.
UPD 18:30 Новые картиночки
UPD 3: dev.1c-bitrix.ru/api_help/main/functions/debug/addmessage2log.php
Tags:
Hubs:
Total votes 159: ↑96 and ↓63 +33
Views 45K
Comments 48
Comments Comments 48

Posts