7.1.1 Log Content

• V7.1 เนื้อหาบันทึก

• Detail:
  • Verify that the application does not log credentials or payment details. Session tokens should only be stored in logs in an irreversible, hashed form.
• ChatGPT:
  • 7.1.1 ตรวจสอบให้แน่ใจว่าแอปพลิเคชันไม่บันทึกข้อมูลรับรอง (Credentials) หรือรายละเอียดการชำระเงินในล็อก และโทเค็นเซสชัน (Session Tokens) ควรถูกจัดเก็บในล็อกในรูปแบบแฮชที่ไม่สามารถย้อนกลับได้เท่านั้น
  • ข้อมูลรับรอง (Credentials) และรายละเอียดการชำระเงิน
    • ข้อมูลรับรอง หมายถึง ข้อมูลที่ใช้ในการพิสูจน์ตัวตน เช่น ชื่อผู้ใช้ (Username) และรหัสผ่าน (Password)
    • รายละเอียดการชำระเงิน หมายถึง ข้อมูลที่เกี่ยวข้องกับธุรกรรมทางการเงิน เช่น หมายเลขบัตรเครดิต/เดบิต, CVV, วันหมดอายุ
    • แอปพลิเคชันไม่ควรบันทึกข้อมูลเหล่านี้ในไฟล์ล็อก (Log Files) เนื่องจากเป็นข้อมูลที่อ่อนไหว และอาจถูกนำไปใช้ในทางที่ไม่ถูกต้องหากเกิดการรั่วไหล (Data Breach)
  • โทเค็นเซสชัน (Session Tokens) ควรถูกแฮชก่อนจัดเก็บ
    • Session Token คือ ค่าที่ใช้ระบุตัวตนของผู้ใช้ในระหว่างที่มีการใช้งานระบบ
    • หากโทเค็นถูกบันทึกไว้ในล็อกแบบไม่มีการป้องกัน (Plaintext) อาจทำให้แฮกเกอร์สามารถขโมยเซสชันและเข้าถึงบัญชีผู้ใช้ได้
    • ดังนั้น ควรบันทึกโทเค็นในรูปแบบที่ ไม่สามารถย้อนกลับได้ (Irreversible) เช่น การใช้ฟังก์ชันแฮชที่ปลอดภัย (เช่น SHA-256 หรือ bcrypt)
• Gemini:
  • 7.1.1 ตรวจสอบให้แน่ใจว่าแอปพลิเคชันไม่ได้บันทึกข้อมูลประจำตัวหรือรายละเอียดการชำระเงิน โทเค็นเซสชันควรถูกจัดเก็บไว้ในบันทึกในรูปแบบแฮชที่ไม่สามารถย้อนกลับได้เท่านั้น
  • ไม่บันทึกข้อมูลสำคัญ: แอปพลิเคชัน ต้องไม่ บันทึกข้อมูลประจำตัวหรือรายละเอียดการชำระเงินลงในบันทึก (logs) โดยตรง เนื่องจากบันทึกอาจถูกเข้าถึงโดยผู้ไม่ได้รับอนุญาต ซึ่งจะนำไปสู่การละเมิดข้อมูล
  • การจัดเก็บโทเค็นเซสชันอย่างปลอดภัย: โทเค็นเซสชัน (session tokens) เป็นข้อมูลที่ใช้ในการระบุผู้ใช้ที่เข้าสู่ระบบและรักษาเซสชันการทำงาน การจัดเก็บโทเค็นเซสชันอย่างปลอดภัยเป็นสิ่งสำคัญยิ่ง ข้อความนี้ระบุว่าโทเค็นเซสชันควรถูกจัดเก็บในรูปแบบ “แฮช” ที่ ไม่สามารถย้อน กลับได้ (one-way hash)
    • แฮช (Hash): เป็นการแปลงข้อมูลใดๆ ให้เป็นสายอักขระที่มีความยาวคงที่ โดยที่การเปลี่ยนแปลงข้อมูลเพียงเล็กน้อยจะทำให้ค่าแฮชเปลี่ยนแปลงไปอย่างมาก
    • ไม่สามารถย้อนกลับได้: หมายความว่าจากค่าแฮช ไม่สามารถแปลงกลับไปเป็นข้อมูลเดิมได้
• My self:
  • 7.1.1 ตรวจสอบว่าแอปพลิเคชัน ต้องไม่ บันทึกข้อมูลสำคัญ เช่น ข้อมูลรับรอง (ชื่อผู้ใช้, รหัสผ่าน) และรายละเอียดการชำระเงิน (ข้อมูลบัตรเครดิต) ลงในบันทึกโดยตรง เนื่องจากเป็นข้อมูลที่อ่อนไหวและเสี่ยงต่อการถูกโจรกรรม โทเค็นเซสชัน ซึ่งใช้ ในการระบุตัวตนผู้ใช้ ควรถูกจัดเก็บในรูปแบบ “แฮช” ที่ ไม่สามารถย้อนกลับได้ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต แม้ว่าผู้ไม่หวังดีจะเข้าถึงบันทึกได้ พวกเขาจะไม่สามารถดึงข้อมูลที่ละเอียดอ่อนออกมาได้