我正在研究在WCF中啓用調試logging的安全隱患,特別是可以/將記錄哪些信息以及是否有任何配置可以用來緩解它。WCF調試日誌記錄敏感信息
說如果我們創建一個DataContract
作爲WCF操作的一部分的Password
屬性,我需要知道在爲請求和響應打開日誌記錄時是否以明文形式寫出屬性,以及是否在服務異常處於任何一層都會暴露這一切。
其他考慮因素包括:SSL或消息加密防止此日誌記錄或任何特殊綁定配置,行爲或掛鉤用於攔截並可能清理日誌。
原因是客戶端需要寫入磁盤的日誌不要包含他們的客戶密碼,因爲公司內安全性較低的人員可能會讀取它們。
謝謝