Yo uso en mi código _logger.LogInformation($"...") para ahorrar datos confidenciales, pero sabría cómo uso esto dentro de la seguridad del desarrollo porque OWASP dice que protege los datos confidenciales. ¿Necesito grabar esto con la criptografía?

0
sabarah 28 jun. 2019 a las 17:21

1 respuesta

La mejor respuesta

Si hay un error de servidor, puede registrar libremente el error siempre que se registre en el servidor. No envíe el error al cliente: el usuario final debe tener la menor cantidad de información posible sobre lo que sucedió (a menos que sea un problema de validación).

Por ejemplo: si el usuario ingresa una cadena de letras en el campo Teléfono. Siéntase libre de devolver el error.

Por favor ingrese un número de teléfono válido

Si hacen clic en un botón y el servidor lanza una excepción, registre el error a su servidor, pero solo informe al cliente que

Ocurrió un error. Por favor, inténtelo de nuevo más tarde

Cuando se trata de registrar datos relacionados con información personal (cosas que debe mantenerse segura), es mejor registrar una referencia.

Un mal log sería

El usuario John Doe (john.doe@email.com) cambió su foto de perfil.

Un buen registro sería algo como

El usuario con el ID de usuario (21) cambió su imagen de perfil el 2019-06-28 a las 11:21:46

De esta manera, si alguna vez necesita mirar los registros para ver qué hizo el sistema, puede ver exactamente lo que el sistema estaba haciendo sin necesidad de revelar datos personales. Si hubo un problema con un sistema, podría usar la referencia (como buscar al usuario con el ID de 21) para encontrar la información relevante relacionada con esa cuenta. Una buena regla es "Si no necesita estar allí, no lo almacenes".

No soy lo mejor por escrito, pero espero que esto le ayude a comprender mejor cómo iniciar sesión sin almacenar datos PII / sensibles.

0
Horkrine 28 jun. 2019 a las 16:30