Seguridad datos conexion G2W3

ccastro · 18 Noviembre, 2014 15:15

Estimados,
Hemos notado que cuando existe un problema en la conexión PDO a la base de datos por x motivo, al ingresar a la aplicación guarani aparece por pantalla el contenido completo del array de conexión. incluyendo contraseña, usuario, IP del servidor, etc. Todo en plano, lo cual es bastante grave.

Como podemos evitar que esto suceda?

system · 18 Noviembre, 2014 15:50

Calculo que eso solo sucede con el sistema en produccion = false, es decir durante desarrollo. ¿Podes confirmarlo para tu error? Caso contrario si, deberíamos corregirlo con urgencia.

Gracias, Saludos

system · 18 Noviembre, 2014 16:00

Update: Lo probé en g3 y solo muestra host y nombre (en deasarollo), pero en g2 muestra demasiados datos… aunque sea desarrollo. No vendría mal no mostrarlo.

Podés comentarlo en src/siu/lib/kernel/util/db/db_informix.php. Al menos el user/password.

Ahora lo saco yo del trunk, pero tarda un tiempo hasta llegar a las versiones.

Gracias por el reporte!!

Saludos

ccastro · 19 Noviembre, 2014 12:17

Hola
Lo tenemos en Produccion=True y muestra todo.
Comentamos lo siguiente pero sigue mostrando todo:

$msg .= "database: $database\n";
                        $msg .= "server: $server\n";
                        $msg .= "user: $user\n";
                        $msg .= "passwd: $passwd\n";

system · 19 Noviembre, 2014 13:24

Hola,

No se que puede estar pasando. Aca funciona bien en g2 y g3. Y el código que se ejecuta (en nuestro caso) es:

} catch (error_kernel $e) {
				kernel::log()->add_error($e, false);
				if (kernel::proyecto()->get_produccion()) {
					$et = new error_kernel(kernel::traductor()->trans('error_indefinido'));
					kernel::renderer()->set_error($et, -1);
				} else {
					kernel::renderer()->set_error($e, -1);
				}

Eso está en src/siu/lib/kernel/nucleo/acceso_web.php por si queres poner algún echo para ver por donde pasa y si kernel::proyecto()->get_produccion() te está retornando true.

Saludos

ccastro · 19 Noviembre, 2014 13:46

La prueba que hacemos es muy simple. En el array de accesos del config.php cambio la contraseña del usuario para conectar al motor y con eso ya se dispara el error. Adjunto print screen.

system · 19 Noviembre, 2014 13:54

Eso es una excepcion no capturada - no se porque no entra en el código que te puse.

Pero yendo a tu caso, tienen el display_errors en ON?

Saludos!

ccastro · 19 Noviembre, 2014 13:58

Si, está en On. Ahi lo puse en Off.