Утечка через логи
Запись паролей, токенов и персональных данных в логи создаёт скрытый канал утечки.
Сигнатура
Sensitive data in logsУтечка через логи возникает, когда в журналы попадают секреты: пароли, токены, тела запросов с персональными данными, ключи API. Логи часто хранятся менее защищённо и доступны многим, поэтому становятся лёгкой целью.
Как защититься: маскируйте или исключайте секреты перед логированием, не логируйте тела запросов аутентификации целиком, ограничивайте доступ к логам, настройте срок хранения и ротацию.
import logging
# Опасно: логируем весь объект с паролем
logging.info("login %s", data) # data содержит password
# Безопасно: маскируем чувствительные поля
safe = {**data, "password": "***", "token": "***"}
logging.info("login %s", safe)