Пользователь
0,1
рейтинг
16 января 2013 в 14:19

Разработка → Как банки защищают ваши персональные данные — log.txt

Всем добрый день.
Поскольку от владельцев сервиса ответа в разумный промежуток времени не получено, пишу тут.
Кратко суть и цель поста: log.txt — плохо. Не забывайте об этом и почаще(напр. прямо сейчас) проверяйте свои проекты.
UPD 3: В старых версиях битрикса нашелся неприятный дефолт: bitrix/php_interface/(dbconn|init).php — константа LOG_FILENAME, которая как вы и догадались, приводит к описанным проблемам.

Ссылочки: <убрано по совету НЛО>
Картиночка: <убрано по совету НЛО>, раз и два
В футере кнопочки уважаемых ADV и AIC, и не понятно, кто больше виноват(и не моя эта цель), по путям похоже, что всё-таки первые, при всём моём к ним уважении.

Очевидные утверждения:
  • логи лучше писать через одну хм..., например, функцию
  • в специально предназначенной для этого папке
  • со специальным расширением или другими признаками для простоты и универсальности блокировки доступа через веб
  • ...


И да, от метания помидоров вида *--*но прошу воздержаться, всё таки ничего критичного не слито, только имейлы ну и сикреты приложений для соцсетей.

Вкратце, в логе были SQL запросы, которые исполнились с ошибками. Из логов можно было узнать некоторые параметры сайта (секретные части ключей для соцсетей), естественно, пути с трейсом ошибки, emailы пользователей и некоторая персональная информация(Имя/фамилия, чекворд для восстановления пароля), которая может быть использована для фишинга.

UPD: 15:41 Ссылки убраны по настоятельному намёку НЛО.
UPD 18:30 Новые картиночки
UPD 3: dev.1c-bitrix.ru/api_help/main/functions/debug/addmessage2log.php
Александр @la0
карма
55,0
рейтинг 0,1
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (48)

  • –28
    На хабр то зачем это писать? Есть же специализированные ресурсы :)
    • +12
      Здесь охват больше и, соответственно, напомнить о недопустимости подобного можно большему числу людей.
      Это и есть главная цель. Именно поэтому я всячески избегаю упоминания ТМ банка, он то тут наименее виноват…
      • 0
        > Именно поэтому я всячески избегаю упоминания ТМ банка

        Да, а то нам тут непонятно на чей ресурс ссылочка из вашего поста ведет :)
        • 0
          Ага =)
          Но что-то вида «какойтотамбанк не защищает ваши данные» не самый лучший заголовок.
  • 0
    Мда, хоть пароли не в открытом виде… Да и судя по дате и контенту — мало и старое.
    • 0
      в битриксе по умолчанию даже солится немного. А вот чекворды для сброса паролей нет, но на счастье их срок действия около неск. часов (по дефолту).
  • –7
    Заголовок нужно заменить на «Как банки НЕ защищают ваши персональные данные».
    • +5
      Нет, не думаю. Слишком желтые заголовки — не очень хорошо.
      • 0
        это понятно, но в статье речь не о желтизне, а о истином состояние вещей.
        этот лог файл много стоит, даже не хакер, а простой юзер может использовать социальную инженерию и десяток фишинговых схем, чтобы добиться не плохих результатов. Там куча открытых мейлов.
        • –1
          Если бы он действительно много стоил по моим оценкам, я бы заморочился, но уж не на хабр бы писал, а попытался добиться решения проблемы.
  • 0
    Да это же промо-страница на битриксе, там персональных данных нет.
    • 0
      хм. email. Информация о том, что возможно клиент банка. Чем не ПД.
  • +9
    Я правильно понимаю что тут сайт банка сделаный на bitrix?
    • –1
      Ну битрикс и битрикс. Не в битриксе проблема, а в руках всех уровней (от хостеров/сисадминов до разработчиков), которые «недоглядели». Ну и не сайт банка (который судя по всему ASP, и в худшем случае на netforge), а сайт одной фичи
  • –5
    Думаю что log.txt это просто тестовый лог, и скорее всего никаких реальных данных в нем нет, пот ому просто сброшен не в приватную папку. Обычно на сайтах реальные логи *.log
  • +3
    • 0
      facepalm.jpg
  • –1
    А администрации сообщили?
    • 0
      Извините, вы пост читали?
      • 0
        Прошу прощения, пропустил видимо.
  • +24
    Без ссылочки и картиночки (которые были убраны из поста) совершенно неясна суть сообщения и его полезность.
    Можно было бы картинку оставить, но замазать чувствительные данные
    • 0
      в гуглокэше этой страницы все ссылки остались
      • 0
        кстати уже нет…
        • +4
          • 0
            Я говорил про оригинал, ну да ладно.
            • 0
              Ссылка, которая была в посте есть в выдаче. Но НЛО злое, поэтому не буду указывать на конкретное место, но это довольно очевидно. :))
              • 0
                Я уже нашел по другому, поэтому вопрос снят.
    • 0
      поддерживаю, кому надо(что странно) тот найдёт.
  • 0
    Отписал своей подруге из АДВ на всякий случай.
    • 0
      Спасибо. Вы сделали даже больше чем я =)
  • +7
    Для большей маскировки надо вообще весь текст убрать и название файла, оставьте только слово «плохо.»
    • +2
      Пост в общем-то не про банки, а про log.txt.
      Набор для иронии:
      Как log.txt защищает ваши ПД? Плохо. Не берите на работу log.txt
    • +3
      ▉▉▉▉▉▉ добрый ▉▉▉.
      ▉▉▉▉ от ▉▉▉▉ ▉▉▉▉▉ ▉▉▉ в ▉▉▉▉▉▉ ▉▉▉ ▉▉▉▉▉▉ не ▉▉▉▉▉▉, ▉▉▉▉ тут.
      ▉▉▉ ▉▉ и ▉▉▉▉ ▉▉▉: ▉▉▉▉ — плохо. Не ▉▉▉ об ▉▉ и ▉▉▉ (напр. ▉▉▉ ▉▉▉▉) ▉▉▉ свои ▉▉▉▉.
  • +22
    Открыл пост, читаю: «это вырезали, то вырезали, log.txt — плохо». Может убрать этот пост, он уже не несет никакой пользы ни для кого в таком виде.
    • –3
      Не уберу я — уберёт НЛО (которое вроде чтит закон, хотя и не с нашей планеты)…
      • +2
        Вы бы хотя бы написали что тут было — сейчас это бесполезный набор байтов.
        • 0
          Добавил чуть подробностей.
      • +1
        Ну, если Вам не жалко кармы и рейтинга — можете оставить как есть. Но не забывайте, что есть ещё 2 выхода
        1. Добавить-таки картинку, но замазать адрес сайта и др. чувствительную информацию, оставив только общее понимание проблемы (ведь НЛО наверняка не нравилось именно наличие чувствительной информации в открытом виде, не замазанной)
        2. Убрать в черновики пост
        • 0
          Добавил.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +4
    Пароль qwerty123 вам о чем-нибудь говорит? Пароль 123456 замечательный пароль. И если я ношу флэшку в кармане, это не значит, что я админ или менеджер.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      ее просто НЛОфицировали до валидного содержания :D
  • 0
    Нужно добавить что:
    — это был не основное ядро сервиса, а дополнение
    — основанное на ядре Битрикс
    — в данный момент баг пофиксили
  • 0
    Лог файл оттуда уже убрали. Ни у кого не осталось копии, почитать перед сном?
  • 0
    Видел не так давно одну софтинку (уже не помню что за), там логи шифровались асимметричным алгоритмом, закрытый ключ — у разработчиков.
    • 0
      Можно использовать и консольный gnupg, только зачем? Если логи закрыть для учетки вебсервера, то их никто не прочтет, а если получат доступ к серверу, то логи не расшифруют (без закрытого ключа), но конфиги-то утянут, а они не зашифрованы. А по ним уже и получат нужные доступы.
      Пустая трата процессорного времени и ресурсов машины.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.