c# – WCF调试记录敏感信息

发布时间：2020-12-15 21:13:42 所属栏目：百科来源：网络整理

导读：我正在研究在WCF中启用调试 logging的安全隐患,特别是它可以/将要记录的信息以及是否可以执行任何配置来缓解它. 假如我们创建一个带有作为WCF操作一部分的Password属性的DataContract,我需要知道在为请求和响应打开日志记录时是否会以明文写出该属性,以及是

我正在研究在WCF中启用调试 logging的安全隐患,特别是它可以/将要记录的信息以及是否可以执行任何配置来缓解它.

假如我们创建一个带有作为WCF操作一部分的Password属性的DataContract,我需要知道在为请求和响应打开日志记录时是否会以明文写出该属性,以及是否在任何层上都有服务异常会揭露任何这一点.

其他考虑因素可以是SSL或消息加密阻止此日志记录或任??何特殊绑定配置,行为或挂钩用于拦截并可能清除日志.

原因是客户端需要写入磁盘的日志不包含其客户密码,因为公司中较不安全的人可能会读取它们.

谢谢

您必须区分MessageLogging和Tracing.您的敏感数据似乎是邮件数据的一部分.因此,当您打开消息日志记录时,您将在日志中以明文形式查看敏感数据.

另一方面,追踪更多是关于WCF基础设施事件.您的邮件内容将不会记录在那里.

以及WCF运行时引发的异常：它们永远不会包含任何消息数据.默认情况下,出于安全考虑,提交给客户端的异常绝不包含任何信息.在异常情况下,您必须明确包含要发送给客户端的数据.

我不知道如何拦截日志记录和跟踪,但WCF无论如何都是非常可扩展的,所以我敢打赌,有一个扩展点可以将TracingBehavior注入到框架的某个地方.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!