Как банки защищают ваши персональные данные — log.txt

    Всем добрый день.
    Поскольку от владельцев сервиса ответа в разумный промежуток времени не получено, пишу тут.
    Кратко суть и цель поста: log.txt — плохо. Не забывайте об этом и почаще(напр. прямо сейчас) проверяйте свои проекты.
    UPD 3: В старых версиях битрикса нашелся неприятный дефолт: bitrix/php_interface/(dbconn|init).php — константа LOG_FILENAME, которая как вы и догадались, приводит к описанным проблемам.

    Ссылочки: <убрано по совету НЛО>
    Картиночка: <убрано по совету НЛО>, раз и два
    В футере кнопочки уважаемых ADV и AIC, и не понятно, кто больше виноват(и не моя эта цель), по путям похоже, что всё-таки первые, при всём моём к ним уважении.

    Очевидные утверждения:
    • логи лучше писать через одну хм..., например, функцию
    • в специально предназначенной для этого папке
    • со специальным расширением или другими признаками для простоты и универсальности блокировки доступа через веб
    • ...


    И да, от метания помидоров вида *--*но прошу воздержаться, всё таки ничего критичного не слито, только имейлы ну и сикреты приложений для соцсетей.

    Вкратце, в логе были SQL запросы, которые исполнились с ошибками. Из логов можно было узнать некоторые параметры сайта (секретные части ключей для соцсетей), естественно, пути с трейсом ошибки, emailы пользователей и некоторая персональная информация(Имя/фамилия, чекворд для восстановления пароля), которая может быть использована для фишинга.

    UPD: 15:41 Ссылки убраны по настоятельному намёку НЛО.
    UPD 18:30 Новые картиночки
    UPD 3: dev.1c-bitrix.ru/api_help/main/functions/debug/addmessage2log.php
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 48
    • –28
      На хабр то зачем это писать? Есть же специализированные ресурсы :)
      • +12
        Здесь охват больше и, соответственно, напомнить о недопустимости подобного можно большему числу людей.
        Это и есть главная цель. Именно поэтому я всячески избегаю упоминания ТМ банка, он то тут наименее виноват…
        • 0
          > Именно поэтому я всячески избегаю упоминания ТМ банка

          Да, а то нам тут непонятно на чей ресурс ссылочка из вашего поста ведет :)
          • 0
            Ага =)
            Но что-то вида «какойтотамбанк не защищает ваши данные» не самый лучший заголовок.
      • 0
        Мда, хоть пароли не в открытом виде… Да и судя по дате и контенту — мало и старое.
        • 0
          в битриксе по умолчанию даже солится немного. А вот чекворды для сброса паролей нет, но на счастье их срок действия около неск. часов (по дефолту).
        • –7
          Заголовок нужно заменить на «Как банки НЕ защищают ваши персональные данные».
          • +5
            Нет, не думаю. Слишком желтые заголовки — не очень хорошо.
            • 0
              это понятно, но в статье речь не о желтизне, а о истином состояние вещей.
              этот лог файл много стоит, даже не хакер, а простой юзер может использовать социальную инженерию и десяток фишинговых схем, чтобы добиться не плохих результатов. Там куча открытых мейлов.
              • –1
                Если бы он действительно много стоил по моим оценкам, я бы заморочился, но уж не на хабр бы писал, а попытался добиться решения проблемы.
          • 0
            Да это же промо-страница на битриксе, там персональных данных нет.
            • 0
              хм. email. Информация о том, что возможно клиент банка. Чем не ПД.
            • +9
              Я правильно понимаю что тут сайт банка сделаный на bitrix?
              • –1
                Ну битрикс и битрикс. Не в битриксе проблема, а в руках всех уровней (от хостеров/сисадминов до разработчиков), которые «недоглядели». Ну и не сайт банка (который судя по всему ASP, и в худшем случае на netforge), а сайт одной фичи
              • –5
                Думаю что log.txt это просто тестовый лог, и скорее всего никаких реальных данных в нем нет, пот ому просто сброшен не в приватную папку. Обычно на сайтах реальные логи *.log
              • –1
                А администрации сообщили?
                • 0
                  Извините, вы пост читали?
                  • 0
                    Прошу прощения, пропустил видимо.
                • +24
                  Без ссылочки и картиночки (которые были убраны из поста) совершенно неясна суть сообщения и его полезность.
                  Можно было бы картинку оставить, но замазать чувствительные данные
                  • 0
                    в гуглокэше этой страницы все ссылки остались
                    • 0
                      кстати уже нет…
                      • +4
                        • 0
                          Я говорил про оригинал, ну да ладно.
                          • 0
                            Ссылка, которая была в посте есть в выдаче. Но НЛО злое, поэтому не буду указывать на конкретное место, но это довольно очевидно. :))
                            • 0
                              Я уже нашел по другому, поэтому вопрос снят.
                    • 0
                      поддерживаю, кому надо(что странно) тот найдёт.
                    • 0
                      Отписал своей подруге из АДВ на всякий случай.
                      • 0
                        Спасибо. Вы сделали даже больше чем я =)
                      • +7
                        Для большей маскировки надо вообще весь текст убрать и название файла, оставьте только слово «плохо.»
                        • +2
                          Пост в общем-то не про банки, а про log.txt.
                          Набор для иронии:
                          Как log.txt защищает ваши ПД? Плохо. Не берите на работу log.txt
                          • +3
                            ▉▉▉▉▉▉ добрый ▉▉▉.
                            ▉▉▉▉ от ▉▉▉▉ ▉▉▉▉▉ ▉▉▉ в ▉▉▉▉▉▉ ▉▉▉ ▉▉▉▉▉▉ не ▉▉▉▉▉▉, ▉▉▉▉ тут.
                            ▉▉▉ ▉▉ и ▉▉▉▉ ▉▉▉: ▉▉▉▉ — плохо. Не ▉▉▉ об ▉▉ и ▉▉▉ (напр. ▉▉▉ ▉▉▉▉) ▉▉▉ свои ▉▉▉▉.
                          • +22
                            Открыл пост, читаю: «это вырезали, то вырезали, log.txt — плохо». Может убрать этот пост, он уже не несет никакой пользы ни для кого в таком виде.
                            • –3
                              Не уберу я — уберёт НЛО (которое вроде чтит закон, хотя и не с нашей планеты)…
                              • +2
                                Вы бы хотя бы написали что тут было — сейчас это бесполезный набор байтов.
                                • 0
                                  Добавил чуть подробностей.
                                • +1
                                  Ну, если Вам не жалко кармы и рейтинга — можете оставить как есть. Но не забывайте, что есть ещё 2 выхода
                                  1. Добавить-таки картинку, но замазать адрес сайта и др. чувствительную информацию, оставив только общее понимание проблемы (ведь НЛО наверняка не нравилось именно наличие чувствительной информации в открытом виде, не замазанной)
                                  2. Убрать в черновики пост
                            • НЛО прилетело и опубликовало эту надпись здесь
                              • +4
                                Пароль qwerty123 вам о чем-нибудь говорит? Пароль 123456 замечательный пароль. И если я ношу флэшку в кармане, это не значит, что я админ или менеджер.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  • 0
                                    ее просто НЛОфицировали до валидного содержания :D
                                  • 0
                                    Нужно добавить что:
                                    — это был не основное ядро сервиса, а дополнение
                                    — основанное на ядре Битрикс
                                    — в данный момент баг пофиксили
                                    • 0
                                      Лог файл оттуда уже убрали. Ни у кого не осталось копии, почитать перед сном?
                                      • 0
                                        Видел не так давно одну софтинку (уже не помню что за), там логи шифровались асимметричным алгоритмом, закрытый ключ — у разработчиков.
                                        • 0
                                          Можно использовать и консольный gnupg, только зачем? Если логи закрыть для учетки вебсервера, то их никто не прочтет, а если получат доступ к серверу, то логи не расшифруют (без закрытого ключа), но конфиги-то утянут, а они не зашифрованы. А по ним уже и получат нужные доступы.
                                          Пустая трата процессорного времени и ресурсов машины.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.