密码明文放日志里，安全真的不重要吗

Question

密码明文放日志里，安全真的不重要吗

kelby opened this issue 11 years ago · 2 comments

Started POST "/admin/sessions?password=admin&username=admin" for 127.0.0.1 at 2014-06-08 21:24:43 +0800
Processing by Admin::SessionsController#create as JSON
Parameters: {"password"=>"admin", "username"=>"admin"}
Completed 200 OK in 1ms (Views: 0.2ms)

我没用过 angularjs，但无论什么技术，密码都不应该出现在日志里啊。并且还是明文 ...

Answer 1 · 2014-06-08T13:35:26.000Z

@kelby 谢谢提出这个问题啊, 看上去是 Rails log 本身没能成功过滤这个字段. 需要处理一下. ( 我记得默认它会过滤 password 字段的日志输出的 )

Answer 2 · 2014-06-08T13:49:49.000Z

73c1a8f

这样就可以修复了, 之前可能整理 application.rb 的时候去掉了.