https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:05 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#c6888 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1116 nospam@example.com (Jacek) Moge mowic tylko za siebie i pare przykladow, ktore widzialem :) ale nie, nie widzialem by byly logowane wrazliwe dane. Raczej (jak sprawa dotyczyla dla przykladu uzytkownika) jakis login lub ID, zeby bylo wiadomo o kogo chodzi, ale zadne hasla, zadne dodatkowe dane. Raczej cos, co i tak jest widoczne z zewnatrz. Wed, 25 Apr 2012 07:16:58 +0200 https://archive.mroczna-zaloga.org/archives/1116-guid.html#c6888 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#c6828 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1116 nospam@example.com () Czasem wykorzystuje się systemy typu getexceptional (http://www.exceptional.io/) potrafiące wyłapywał dość istotne dane (np imiona nazwiska, adresy czy numery tel). Zupełnie jak wspomniałeś Pawle, niektóre systemy logowań błędów (przynajmniej, z którymi się spotkałem) miały to do siebie, iż logowały także te "wrażliwe dane" jak (login,hasło) lecz to były sytuacje skrajne. Jeśli chodzi natomiast o dalszą obsługę takich błędów to były one dalej zgłaszane programistom a następnie w miarę możliwości czasowych naprawiane. pozdrawiam wszystkich! Mon, 23 Apr 2012 13:48:12 +0200 https://archive.mroczna-zaloga.org/archives/1116-guid.html#c6828 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#c6803 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1116 nospam@example.com (Paweł Goleń) Ja pamiętam z dawnych czasów, jak mi się dostało, że "bardziej wierzę logom niż ludziom". To, że system ma wbudowany mechanizm logowania wcale nie znaczy, że ktoś/administrator go loguje. A czy tworząc funkcje logowania zwracacie uwagę, by nie logować, w przypadku wystąpienia wyjątku, istotnych danych? Zresztą nie tylko w przypadku wyjątku, tu ostatni przykład z Google Wallet (http://intrepidusgroup.com/insight/2012/04/google-wallet-last-four-digits-revealed-to-malware-vulnerability/). Sam kilka takich przypadków też widziałem, choć z oczywistych przypadków tylko w niektórych projektach można prześledzić to, co jest pisane do logów. Mon, 23 Apr 2012 07:25:50 +0200 https://archive.mroczna-zaloga.org/archives/1116-guid.html#c6803 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#c6802 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1116 nospam@example.com (Jacek) Temat posprzatania - to zalezy mocno od sytuacji. Zawsze taki wyjatek jest zapisywany loggerem do logow serwera z komentarzem - jaka to klasa, jaka funkcja i co chcielismy zrobic a nie wyszlo. Najczesciej potem nastepuje przekierowanie do strony z bledem (oczywiscie mowimy o krytycznej funkcjonalnosci ktora musi byc wykonana zeby isc dalej). Sygnal ze ktos majstruje. Hmm... z tym ciezej. Ja co prawda nie robie ogromnych i bardzo, bardzo waznych aplikacji (jestem jeszcze mlodszym pracownikiem ^^), wiec nie implementuje jakichs systemow powiadamiania w konkretnych sytuacjach, ale wiem ze logi serwera sa calkiem czesto monitorowane. Nagly przyrost ich wielkosci jest dobrym sygnalem ze cos sie dzieje - warto zajrzec i przeanalizowac sprawe. Zwykle to wystarczalo zeby zareagowac na specyficzne sytuacje. Mon, 23 Apr 2012 07:12:19 +0200 https://archive.mroczna-zaloga.org/archives/1116-guid.html#c6802 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#c6730 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1116 nospam@example.com (Paweł Goleń) A dziękuję i witam :) Czy mógłbyś trochę rozwinąć temat "posprzątania" w tych ogólnych procedurach obsługi wyjątków? Czy w jakiś sposób informacja o tych wyjątkach, które wystąpiły, jest dostępna i jest szansa jej monitorowania? Ten drugi temat mnie interesuje z tego powodu, że występujący "dziwny" wyjątek może być dobrym sygnałem, że ktoś przy aplikacji w niepożądany sposób próbuje majstrować. Najśmieszniejszym przypadkiem, z którym spotkałem się w obsłudze wyjątku (takim "catch all" na końcu) było SQLi w funkcji, która wstawiała informacje o wyjątku do logu w bazie :) Fri, 20 Apr 2012 07:21:02 +0200 https://archive.mroczna-zaloga.org/archives/1116-guid.html#c6730 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#c6729 https://archive.mroczna-zaloga.org/archives/1116-co-zrobic-z-wyjatkiem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1116 nospam@example.com (Jacek) Po pierwsze sie przywitam, poniewaz pisze pierwszy raz (choc bloga dosc zawziecie sledze od dluzszego czasu :P). U mnie w pracy (jestem programista Javy, glownie webaplikacje) nieobsluzony wyjatek lecacy do klienta jest raczej bledem. Zaleca sie obsluzenie wyjatkow ktore sie moga zdazyc, chociazby w ten sposob ogolny - w obsludze tego wyjatku posprzatac aplikacje, zamknac co trzeba i zalogowac wyjatek. Nie trzeba po wyjatku tej aplikacji naprawiac (czasem sie nie da, czasem jak mowisz - nie ma sensu, bo nie zakladamy ze ktos moze manipulowac np polami hidden), ale zalogowac wyjatek i wyswietlic ladna strone bledu - trzeba. I powiem szczerze - zgadzam sie nawet z takim podejsciem, jest bardziej user-friendly, bardziej serwer - friendly (ze tak powiem :P nie zostaja smiecie) i mniej atakujacy - friendly (poniewaz ukryte sa stacktrace'y, informacje o uzywanym serwerze itd). Skoro juz sie ujawnilem, to przy okazji podziekuje za tego bloga, jest fajnie pisany, profesjonalny i mi na przyklad pomogl w zakresie bezpieczenstwa pare razy :) Thu, 19 Apr 2012 07:07:55 +0200 https://archive.mroczna-zaloga.org/archives/1116-guid.html#c6729