লগগুলিতে কোন তথ্য অবশ্যই উপস্থিত হবে না? [বন্ধ]

লগগুলিতে কখনই প্রদর্শিত হবে না সে সম্পর্কে কোম্পানীর গাইডলাইন লিখতে চলেছি (কোনও অ্যাপ্লিকেশনটির সন্ধান)। প্রকৃতপক্ষে, কিছু বিকাশকারীরা ট্রেসগুলিতে যথাসম্ভব অনেকগুলি তথ্য অন্তর্ভুক্ত করার চেষ্টা করে, সেই লগগুলিকে সংরক্ষণ করা ঝুঁকিপূর্ণ এবং সেগুলি জমা দেওয়া অত্যন্ত বিপজ্জনক , বিশেষত যখন গ্রাহক জানেন না যে এই তথ্য সংরক্ষণ করা হয়েছে, কারণ সে কখনই এ সম্পর্কে যত্ন নেননি এবং ডকুমেন্টেশন এবং / বা সতর্কতা বার্তা কখনও পড়বেন না read

উদাহরণস্বরূপ, ফাইলগুলির সাথে কাজ করার সময়, কিছু বিকাশকারী ফাইলগুলির নাম সনাক্ত করতে প্ররোচিত হন । উদাহরণস্বরূপ ডিরেক্টরিতে ফাইলের নাম সংযোজন করার আগে, আমরা যদি ত্রুটিযুক্তভাবে সমস্ত কিছু সনাক্ত করি তবে উদাহরণস্বরূপ লক্ষ্য করা সহজ হবে যে সংযুক্ত নামটি খুব দীর্ঘ, এবং কোডটিতে থাকা বাগটি দৈর্ঘ্যের জন্য যাচাই করতে ভুলে গিয়েছিল সংক্ষিপ্ত স্ট্রিং। এটি সহায়ক, তবে এটি সংবেদনশীল ডেটা এবং লগগুলিতে কখনই প্রদর্শিত হবে না ।

একই পথে:

• পাসওয়ার্ড ,
• আইপি ঠিকানা এবং নেটওয়ার্ক তথ্য (ম্যাকের ঠিকানা, হোস্টের নাম ইত্যাদি) ¹,
• ডাটাবেস অ্যাক্সেস,
• ব্যবহারকারী এবং সঞ্চিত ব্যবসায়িক ডেটা থেকে সরাসরি ইনপুট

ট্রেস উপস্থিত হতে হবে না।

সুতরাং লগগুলি থেকে অন্যান্য কোন ধরণের তথ্য নিষিদ্ধ করতে হবে? ইতিমধ্যে এমন কোনও গাইডলাইন লেখা আছে যা আমি ব্যবহার করতে পারি?

^{¹ স্পষ্টতই, আমি আইআইএস বা অ্যাপাচি লগ হিসাবে জিনিসগুলি নিয়ে কথা বলছি না। আমি যা বলছি তা হ'ল ধরণের তথ্য যা অবিশ্বস্ত সংস্থার ক্রিয়াকলাপের সন্ধান করার জন্য নয়, অ্যাপ্লিকেশনটি নিজেই ডিবাগ করার একমাত্র উদ্দেশ্য নিয়ে সংগ্রহ করা হয়।}

সম্পাদনা: আপনার উত্তর এবং আপনার মন্তব্যের জন্য আপনাকে ধন্যবাদ। যেহেতু আমার প্রশ্নটি খুব সুনির্দিষ্ট নয়, আমি মন্তব্যে জিজ্ঞাসা করা প্রশ্নগুলির উত্তর দেওয়ার চেষ্টা করব:

• আমি লগগুলি দিয়ে কি করছি?

অ্যাপ্লিকেশনটির লগগুলি মেমোরিতে সংরক্ষণ করা যেতে পারে, যার অর্থ লোকালহোস্টের হার্ড ডিস্কে প্লেইনে, কোনও ডাটাবেজে, আবার সাধারণ বা উইন্ডোজ ইভেন্টগুলিতে। প্রতিটি ক্ষেত্রেই উদ্বেগটি হ'ল সেই উত্সগুলি যথেষ্ট নিরাপদ নাও থাকতে পারে। উদাহরণস্বরূপ, যখন কোনও গ্রাহক কোনও অ্যাপ্লিকেশন চালায় এবং এই অ্যাপ্লিকেশনটি টেম্প ডিরেক্টরিতে প্লেইন টেক্সট ফাইলে লগগুলি সঞ্চয় করে, পিসিতে শারীরিক অ্যাক্সেস থাকা যে কোনও ব্যক্তি সেই লগগুলি পড়তে পারে।

আবেদনের লগগুলি ইন্টারনেটের মাধ্যমেও পাঠানো যেতে পারে। উদাহরণস্বরূপ, যদি কোনও গ্রাহকের কোনও অ্যাপ্লিকেশন নিয়ে সমস্যা থাকে তবে আমরা তাকে এই অ্যাপ্লিকেশনটি পুরো ট্রেস মোডে চালাতে এবং আমাদের লগ ফাইলটি প্রেরণ করতে বলতে পারি। এছাড়াও, কিছু অ্যাপ্লিকেশন স্বয়ংক্রিয়ভাবে ক্র্যাশ প্রতিবেদনটি আমাদের কাছে প্রেরণ করতে পারে (এবং সংবেদনশীল ডেটা সম্পর্কে সতর্কতা থাকলেও বেশিরভাগ ক্ষেত্রে গ্রাহকরা সেগুলি পড়েন না)।

• আমি কি নির্দিষ্ট ক্ষেত্রের কথা বলছি?

না, আমি কেবলমাত্র সাধারণ ব্যবসায়িক অ্যাপ্লিকেশনগুলিতে কাজ করছি, সুতরাং কেবল সংবেদনশীল ডেটা হ'ল ব্যবসায়িক ডেটা। স্বাস্থ্য বা নির্দিষ্ট ক্ষেত্রগুলি সম্পর্কিত নির্দিষ্ট বিধি দ্বারা আওতাভুক্ত কিছুই নেই। তবে আপনাকে এই বিষয়ে কথা বলার জন্য ধন্যবাদ, আমি সম্ভবত দিকনির্দেশগুলিতে কী কী অন্তর্ভুক্ত করতে পারি সে সম্পর্কে কিছু সূত্রের জন্য সেই ক্ষেত্রগুলি সম্পর্কে একবার নজর দেওয়া উচিত।

• ডেটা এনক্রিপ্ট করা কি সহজ নয়?

না, এটি প্রতিটি অ্যাপ্লিকেশনকে আরও জটিল করে তুলবে, বিশেষত যদি আমরা সি # ডায়াগনস্টিকস ব্যবহার করতে চাই এবং TraceSource। এটি অনুমোদন পরিচালনা করতেও প্রয়োজন, যা করা সবচেয়ে সহজ ভাবনা নয়। পরিশেষে, আমরা যদি কোনও গ্রাহকের কাছ থেকে আমাদের জমা দেওয়া লগগুলির বিষয়ে কথা বলি তবে আমাদের অবশ্যই লগগুলি পড়তে সক্ষম হতে হবে, তবে সংবেদনশীল ডেটাতে অ্যাক্সেস ছাড়াই। প্রযুক্তিগতভাবে, লগগুলিতে সংবেদনশীল তথ্য কখনই অন্তর্ভুক্ত করা সহজ নয় এবং সেই লগগুলি কীভাবে এবং কোথায় সংরক্ষণ করা হয় সে সম্পর্কে কখনই যত্ন নেওয়া উচিত নয়।

আমি বিশ্বাস করি এটি হ্যান্ডেল করার সর্বোত্তম উপায় হ'ল লগ ফাইলগুলিকে অ্যাপ্লিকেশনটির জন্য অন্য একটি ইউজার ইন্টারফেস হিসাবে বিবেচনা করা। তথ্যটি পাঠ্য ফাইলগুলিতে সংরক্ষিত রয়েছে তা ব্যবহারকারীর ইন্টারফেসে নিয়মিত স্ক্রিনে প্রদর্শিত তথ্য থেকে সামগ্রীটি কোনও আলাদা করে না।

যদি নিয়মিত ব্যবহারকারীর ইন্টারফেসে প্রদর্শিত হয় তবে আপনি কীভাবে একই তথ্য রক্ষা করবেন সে সম্পর্কে ভাবুন। ব্যবহারকারী কে ছিলেন তা আপনাকে সনাক্ত করতে হবে এবং তারপরে কেবল এই তথ্যটিই প্রকাশ করতে হবে যা এই ব্যবহারকারী দেখার অধিকারী ছিল।

লগ ফাইলের তথ্য একই পদ্ধতিতে চিকিত্সা করা আবশ্যক। লগ ফাইলটি দেখার জন্য কাকে প্ররোচিত করা উচিত এবং তাদের কোন তথ্য দেখার অনুমতি দেওয়া উচিত তা আপনাকে অবশ্যই প্রথমে উত্তর দিতে হবে।

চারপাশে খারাপভাবে ডিজাইন করা লগ ফাইলগুলি পাস করা একটি বিশাল সুরক্ষা ঝুঁকি। আমি বিশ্বাস করি না যে কোনও ধরণের ডেটা ব্ল্যাকলিস্ট করে আপনি এর একটি ভাল সমাধান পাবেন। প্রতিটি লগ ফাইলে কী যেতে পারে তা শ্বেত তালিকাভুক্ত করা এবং সেখান থেকে লগ ফাইলগুলি নীচে উপরে নকশা করা আরও ভাল কৌশল।

ক্রেডিট কার্ডের তথ্য কখনও লগ করা উচিত নয়।

আইডি নম্বর (যেমন মার্কিন যুক্তরাষ্ট্রে এসএসএন বা ইস্রায়েলে তেওদাত জেহুত #)

নেটওয়ার্ক কম্পিউটারের নাম, নেটওয়ার্ক শেয়ারের পথ।

1996 সালে স্বাস্থ্য বীমা পোর্টেবিলিটি এবং জবাবদিহিতা আইন (HIPAA) এর আওতায় ব্যক্তিগতভাবে সনাক্তযোগ্য স্বাস্থ্য তথ্য। এই নিবন্ধটি নিম্নলিখিত উদাহরণগুলির তালিকা দেয়:

• স্বাস্থ্যসেবা দাবী বা স্বাস্থ্যসেবা মোকাবিলার তথ্য, যেমন চিকিত্সক এবং অন্যান্য সরবরাহকারী কর্মীদের দ্বারা করা ডাক্তারের পরিদর্শন এবং নোটগুলির ডকুমেন্টেশন;
• স্বাস্থ্যসেবা প্রদান এবং রেমিটেন্স পরামর্শ;
• স্বাস্থ্যসেবা সুবিধার সমন্বয়;
• স্বাস্থ্যসেবা দাবির স্থিতি;
• স্বাস্থ্য পরিকল্পনায় তালিকাভুক্তি এবং তালিকাভুক্তি;
• স্বাস্থ্য পরিকল্পনার জন্য যোগ্যতা;
• স্বাস্থ্য পরিকল্পনা প্রিমিয়াম প্রদান;
• রেফারেল শংসাপত্র এবং অনুমোদন;
• আঘাতের প্রথম রিপোর্ট;
• স্বাস্থ্য দাবি সংযুক্তি।

সুরক্ষা যদি উদ্বেগের বিষয় থাকে তবে লগ ফাইলটি এনক্রিপ্ট করুন

আমার মাথার উপরে....

ক্রেডিট কার্ডের তথ্য লগের মধ্যে থাকা উচিত নয়। এসএসএন (বা এসআইএন) ডেটা লগে থাকা উচিত নয়।

... অবশ্যই ব্যতিক্রম আছে, যদি আপনি একটি ক্রেডিট কার্ড কোম্পানি বা সরকারী সংস্থার পাপের তথ্য পরিচালনা কিছু কেন্দ্রীয় তথ্য দোকান জন্য কাজ করার ঘটা উচিত, তারপর আপনি পারে আছে , এটা লগ ইন করার কারণ এটি কি আপনি প্রধান মাংস এর পুনরায় প্রক্রিয়াজাতকরণ / পরিচালনা করা হচ্ছে।

হ্যাঁ কিন্তু.

কিছু সমস্যা ডিবাগ করার জন্য আপনার বাস্তব ডেটা দরকার।

সুতরাং আপনাকে একটি ব্যালেন্স গেম খেলতে হবে: আপনার মূল ক্লায়েন্টরা কী গোপনীয় বা সংবেদনশীল ডেটা বিবেচনা করে এবং কী না তা আপনাকে অবশ্যই আলোচনা এবং একমত হতে হবে। যদি বেশ কয়েকটি ক্লায়েন্ট একমত না হন তবে এর প্রতিটি দিকের জন্য সবচেয়ে খারাপ পরিস্থিতিটি দেখুন, যদি না আপনি সেই সমস্ত ক্লায়েন্টদের কাছে এটি ন্যায়সঙ্গত করতে পারেন যা সংবেদনশীল সবকিছুকে লেবেল করার জন্য ওভারবোর্ডে যেতে পারে।

আমি এয়ার ট্র্যাফিক কন্ট্রোল, ফিনান্স এবং ব্যাংকিংয়ে কাজ করেছি। প্রতিটি পরিস্থিতিতে সংবেদনশীল তথ্য রয়েছে। এমন কাজগুলি রয়েছে যার জন্য সংবেদনশীল ডেটা পরিচালনা করা অনিবার্য, সেই ক্ষেত্রে আপনার যতটা সম্ভব আপনারা নিশ্চিত করতে হবে যে আপনি বিশ্বস্ত লোকদের সাথে কাজ করেন। এই ঝুঁকিটি এই জাতীয় ডেটা অ্যাক্সেস করার আগে সম্মতিযুক্ত আইনী দফায় কিছুটা কমিয়ে আনা যেতে পারে (অ-প্রকাশের চুক্তি, বৈধ ব্যবসায়ের কারণে কেবলমাত্র ডেটা ব্যবহার, ডেটাতে সীমাবদ্ধ অ্যাক্সেস, চুক্তিগুলি সম্মান করতে বা প্রয়োগ করতে ব্যর্থ হওয়ার জন্য রাষ্ট্রপক্ষের দণ্ড ...) - এবং প্রাসঙ্গিক প্রক্রিয়া যা এই জিনিসগুলি ট্র্যাক করা সম্ভব করে।

যদি ডেটা সমালোচনামূলক হয় তবে আপনাকে এই ডেটার অখণ্ডতা, সংগতি এবং সুরক্ষা রক্ষা করার জন্য সিস্টেমগুলি সেট আপ করার জন্য আপনাকে মূল্য দিতে হবে।

এটি বলেছিল যে আপনি 'কোন ডেটা' প্রশ্নটি জিজ্ঞাসা করা ঠিক। সত্যিই আপনি নিজেই এর উত্তর দিন: এর বেশিরভাগই ব্যবসায় সম্পর্কিত। সুতরাং আপনি নিজের উত্তর দিতে না পারলে আপনার ক্লায়েন্টদের জিজ্ঞাসা করুন - উপরের সমস্ত বিষয়গুলি মনে রাখবেন এবং সমস্যাগুলি চিহ্নিত করতে এবং সমাধান করতে পারে এমন কোনও উপায় বজায় রেখে।

আমি বলব, লগ বার্তাগুলি যেগুলি কোডিং করার সময় মজাদার মনে হয়। আপনি তাদের লাইন থেকে মজাদার খুঁজে পাবেন না এবং তারা সেখানে চিরকাল থাকবে - ঠিক যেমন অসুস্থ পরামর্শ দেওয়া ব্লগ / ফেসবুক / টুইটার পোস্টের মতো!

লগ বার্তা নিস্তেজ রাখুন :)