スタックトレースをログに記録することは一般的に安全(および準拠)ですか?
私は、PCI-DSS、FDIC/FFIEC、およびISO-27000への準拠を維持している金融Webサイトで働いています。また、私たちはOWASPの大ファンです:)
当社のWebサイトは、エラーをクリアテキストでWebサーバーに保持されているフラットファイルに記録します。これらのサイトは、多くの価値の高いPIIを処理します。
一般的に安全で準拠しているのだろうかと思います。例外がスローされたときにスタックトレースをログに記録することを考え直すべきではありませんか?それを含める前に私が自分自身に尋ねるべき質問はありますか?それともこれは簡単ですか?
スタックトレースは、アプリケーションのバグを理解するために開発者にとって(または攻撃された場合の管理者にとって)非常に価値がありますが、ユーザー名、パスワード、または同様の情報などの機密情報をログに記録しないでください。これが原因で、ログが悪用された場合、攻撃者がいくつかのバグを理解できるよりも害がはるかに深刻になる可能性があります。
また、ログはWebサーバーとは別のパーティションに保存する必要があります。これは、DoSの可能性を回避するためです。特定の攻撃の下では、ログファイルが大幅に増加し、Webサーバーパーティションがいっぱいになり、機能しなくなる可能性があります。これを防ぐための適切なバックアップポリシーも推奨されます