Question

Я хочу выяснить, какие возможные стандартные исключения .net могут привести к тому, что в трассировках стека будет содержаться конфиденциальная информация.

Насколько я понимаю (исправьте меня, если я ошибаюсь), что в случае сбоя соединения SQL возникает исключениесозданное сообщение будет содержать строку подключения, которая, в свою очередь, может включать имя пользователя и пароль (если не используется встроенная защита).

Мы записываем сообщение об исключении в файлы журнала, которые могут прочитать люди, которые не должны видетьэта информация.

Какие другие исключения могут включать информацию, такую как эта, о которой вы знаете?

В рассматриваемом приложении используются Web, WCF и БД (SQL Server).

Спасибо

Mitchel Sellers · Answer 1 · 24 декабря 2010

Лично я не думаю, что вы делаете это правильно. Попытка определить количество исключений, в которых может содержаться информация, подвергнет вас риску с большей вероятностью, поскольку один элемент будет пропущен, это просто происходит.

Я бы немного переключил фокус и попытался определить, где вы можете записать их в безопасное место.

Еще одна неизвестность, о которой здесь стоит подумать, - это то, что разработчик может создать сообщение, содержащее конфиденциальную информацию, и определить его будет очень сложно.

Конфиденциальная информация в Stack Trace

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Конфиденциальная информация в Stack Trace

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы