我运营一个用户提交机密信息的网站。举例来说,让我们说这是一个网站,供用户存储他们最深刻和最黑暗的秘密。
保护这些数据并将其保密是非常重要的。我正在使用HTTPS,加密数据库中的数据,在我的帐户上使用长密码和双因素身份验证等。
上周,我遇到了一些生产问题,需要查看服务器日志输出,以查看服务器正在接收的请求,以及一般情况下发生了什么。它托管在Heroku上,它有一些工具,如Papertrail,可以轻松查看服务器日志。问题是Web服务器正在接收用户提交的表单输入,该表单输入出现在服务器输出中(作为从表单提交中接收的params哈希)。
所以我在这里,试图模糊我的视力,以便在尝试追踪问题时不会阅读某人的私人信息。当服务器收到这些数据时,有没有办法掩盖这些数据?
当人们听到网站时,我收到的一个问题是,“好吧,我怎么知道你不只是在阅读我的秘密?”事实上,据我所知,如果有权访问服务器的管理员想要读取任何这些数据,那么实际上并没有什么能阻止它们。我想能够说,“没有人能看到你的秘密。甚至我都没有,哈哈!”
这是合理的还是可能的?
注意:这是一个Ruby on Rails 5应用程序,使用Postgres在Heroku上托管。
答案 0 :(得分:5)
我认为在配置中添加这样的内容将是第一步:
config.filter_parameters += [:password, :password_confirmation, :credit_card, :your_secret, ...]