¿Es generalmente seguro (y compatible) registrar un seguimiento de pila?

Navega tus respuestas
1

Trabajo en sitios web financieros que cumplen con las normas PCI-DSS, FDIC / FFIEC e ISO-27000. Además, somos grandes fanáticos de OWASP :)

Nuestros sitios web registran errores en texto sin cifrar en un archivo plano que se encuentra en el servidor web. Estos sitios manejan una gran cantidad de PII de alto valor.

Me pregunto si es generalmente seguro y compatible, y no debería pensarlo dos veces, ¿registrar el seguimiento de la pila cuando se produce una excepción? ¿Hay alguna pregunta que deba hacerme antes de incluirla? ¿O es esto una obviedad?

    
pregunta John Wu 15.11.2016 - 19:44
fuente

1 respuesta

1

Los stacktraces serían realmente valiosos para los desarrolladores a fin de comprender los errores en su aplicación (o para el administrador en caso de ser atacado), pero no debe registrar información confidencial como nombres de usuario, contraseñas o información similar. Eso es porque si lo haces y tus registros caen en malas manos, el daño podría ser mucho peor que el hecho de que un atacante pueda comprender algunos errores.

Además, los registros se deben almacenar en una partición diferente a la de su servidor web, para evitar un posible DoS. Bajo ciertos ataques, sus archivos de registro aumentarán drásticamente, lo que puede llenar la partición del servidor web y evitar que funcione. También se recomienda una buena política de copia de seguridad para evitar esto

    
respondido por el Mr. E 15.11.2016 - 22:23
fuente

Lea otras preguntas en las etiquetas

Preocupaciones de verificación de certificados ¿Conoce las aplicaciones de pesca de LastPass? ¿Maneras de proteger?