我正在托pipe一个网站,允许用户连接HTTP或HTTPS。 默认的apacheconfiguration会生成一个单独的日志文件,用于通过HTTPS和另外两个信息(协议(例如TLSv1)和密码(例如DHE-RSA-CAMELLIA256-SHA))进行请求。 我想知道logging这两个额外信息的好处,还是我应该将它与访问日志合并,而不用这两列来便于排除故障。
为了最大限度地兼容浏览器,Apache将使用各种各样的HTTPS协议和密码。
但是,如果要确保HTTPSstream量的安全性,则需要禁用其中一些协议(例如SSLv2)和密码(例如RC2-CBC-MD5)。 特别是随着时间的推移,一些协议/密码越来越多地对他们进行攻击。 浏览器通常会连接一个更强大的协议/密码(如果可以的话),并且该协议/密码将显示在您的日志中。
潜在的问题是,如果您禁用那些安全性较低的协议/密码,并且您的用户基础的浏览器不支持您允许的协议/密码,那么一些浏览您的网站的用户(使用旧的PC或手机)可能不再能够获得HTTPS连接! 特别是如果像谷歌或其他网站一样,出于安全原因(例如,为了保护会话cookie免受无线嗅探)而强迫人们使用HTTPS,这可能是一个问题。
你怎么知道这是否是安全的或停用是最安全的; 你怎么能衡量这种业务风险? 那么,如果您logging了您的用户群使用的实际密码,则可以轻松地看到您的客户是否受到影响,或者通过移除对这些协议/密码的访问来影响多less百分比的stream量。 或者至less得到这个影响的一个很好的近似值。 浏览器通常会连接一个更强大的协议/密码(如果可以的话),并且该协议/密码将显示在您的日志中。
(也有一些微妙的原因,比如确保你的服务器使用你认为是的协议/密码,并且出于法庭原因,如果有一些MITM SSL降级攻击。)
对于保持日志合并或分离我没有强烈的意见,但是通过分别logging事情,可以有一个小日志,纯粹侧重于允许分析,而不是使用它的主要大型日志陷入困境。 它可能会以不同的频率旋转等