Nginx логгирут пароли в POST

Question

korjik @korjik

Nginx

Nginx логгирут пароли в POST

Привет!

Стоит nginx + passenger с дефолтными настройками логов. Почему-то в логах сохраняются данные типа:

[24/Feb/2012:10:07:59 +0000] «POST /users/authenticate.xml?login=korjik&owner_id=1&password=password HTTP/1.1»

Перерыл гугл, чтоб избавиться от этого. Что посоветуете?

Вопрос задан более трёх лет назад
2991 просмотр

2 комментария

Подписаться 4 Оценить 2 комментария

Пригласить эксперта

Ответы на вопрос 3

Комментировать

3 комментария

Анатолий @taliban

Какой смысл в хеше, если потом надо логинить пользователя? А если тупо хеш сверять, полученный от клиента, то какой смысл вообще хешировать, если он будет выступать в роли открытого пароля?

Написано более трёх лет назад
Виталий Перетятько @viperet

человек между прочим дело говорит. сервер вместе с формой логина передает «соль» — случайную строку, в браузере JS берет хеш от пароля+соли и посылает его на сервер, где сервер его проверяет со своим паролем + соль (он ее должен запомнить скажем в сессии). Таким образом пароль никогда не передается в открытом виде.

Написано более трёх лет назад
havelock @havelock

можете подсказать хорошее и лёгкое решение для MD5-хеширования в браузере, чтобы не писать велосипед?

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- вчера
- 90 просмотров
4

ответа
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 159 просмотров
0

ответов
Nginx

+2 ещё

Простой
Reverse proxy и Mikrotik, как запустить?
- 1 подписчик
- 18 нояб.
- 189 просмотров
1

ответ
Nginx

Простой
У меня nginx не видит файлы в папке, почему?
- 1 подписчик
- 18 нояб.
- 185 просмотров
2

ответа
Nginx

Простой
Настройка nginx для нескольких статич сайтов (прилоджений реакт)?
- 1 подписчик
- 14 нояб.
- 93 просмотра
1

ответ
Nginx

+1 ещё

Простой
Почему при наличии системной переменной Debian 12.8 в «/usr/sbin/nginx» — при вводе команды «# nginx -v» ошибка «команда не найдена»?
- 2 подписчика
- 14 нояб.
- 135 просмотров
1

ответ
Nginx

Простой
Как правильно настроить конфиг Nginx?
- 1 подписчик
- 12 нояб.
- 210 просмотров
1

ответ
Nginx

Простой
Как настроить nginx для yii2 на хостинге?
- 1 подписчик
- 12 нояб.
- 42 просмотра
0

ответов
Nginx

Простой
Как исправить ошибку «cannot load certificate» после удаления сертификата letsencrypt?
- 1 подписчик
- 11 нояб.
- 93 просмотра
2

ответа
Nginx

Простой
Как добавить новый домен на хостинг?
- 1 подписчик
- 11 нояб.
- 113 просмотров
4

ответа
Показать ещё Загружается…

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Go Developer

Karma8

До 600 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Сделать верстку двух страниц из фигмы

22 нояб. 2024, в 09:58

5000 руб./за проект

Доделать проект

22 нояб. 2024, в 09:57

3000 руб./за проект

Написать продающую и сео-оптимизированную структура для сайта

22 нояб. 2024, в 09:42

30000 руб./за проект

Отбой. Это баг. Nginx логгирует post как get — так ведёт себя приложение.
Nginx не может логировать post как get. У вас там явно написано, что это post-запрос. И у него есть query-string (это способ передачи get-параметров), что не означает что он post.

Answer 1 · 2012-02-24 17:47:53

VBart @VBart

Очевидно потому, что пароли были переданы не в post body, а в качестве uri-аргументов.

Ответ написан более трёх лет назад

Комментировать

Answer 2 · 2012-02-24 16:45:32

Defined @Defined

Лучше вообще хэшированные пароли передавать, еще и с солью внутри.

Ответ написан более трёх лет назад

3 комментария

Answer 3 · 2012-02-24 17:05:16

Отключить логирование — вариант?
wiki.nginx.org/NginxHttpLogModule#access_log

Или, может, изменить формат логов подойдет?
wiki.nginx.org/NginxHttpLogModule#log_format

Nginx логгирут пароли в POST

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт