Verbesserung
Wichtig
Detail
Detail
Fehlerbehebung
Mit #27720 werden Log-Meldungen aus Nutzer-Sessions mit der Session-ID versehen. Das ist aus Sicherheitsaspekten ungünstig, da es einem Leser der Log-Datei möglicherweise das Übernehmen einer Session ermöglichen würde.
Auch die Anzeige der Session-ID im Nutzer-Monitor ist aus diesen Gesichtspunkten eher fragwürdig.
Vgl. https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet.html
Lösung
Erzeugung eines weiteren Identifikators für die Session (Hash-Wert der Session-ID) und Verwendung dessen für das Auffinden von Logs einer Session.
Test
Kein automatischer Test, da zu aufwendig.
- Die Anwendung starten, benutzen, zum Beispiel über die Fehler Seiten im technischen Demo Errors produzieren und prüfen, dass in keiner Log Meldung die echte Session-ID steht sondern nur die gehashte. Letztere hat dir Form S(...), wobei in der Klammer ein Base64 Wert steht.
- In der Sicht "Administration > Monitor > Benutzerhistorie" steht ebenfalls nur die gehashte Session-ID.