Apache httpclient sembra registrare le password in chiaro quando è attiva la registrazione di debug.apache httpclient registra le password in chiaro quando è attiva la registrazione di debug
C'è un modo per disabilitare questo? In modo che possa vedere il resto della registrazione di debug ma non le credenziali?
Creare un hash SHA1 della password in memoria prima di inviarlo sulla rete.
MessageDigest md = MessageDigest.getInstance("SHA-1");
byte[] sha1hash = new byte[40];
md.update(text.getBytes("UTF-8"), 0, text.length()); // TODO verify the lengths are the same
sha1hash = md.digest();
http://www.mkyong.com/java/java-sha-hashing-example/
Se è assolutamente necessario password in chiaro, sono disponibili diverse opzioni:
È possibile disattivare la registrazione per le intestazioni o impostarlo su un livello superiore rispetto debug: Disable HttpClient logging
È possibile disattivare dinamicamente la registrazione prima di inviare la password e quindi riaccenderla o n di nuovo: Dynamically configuring Apache Http client
È possibile implementare il proprio gestore di Logger/formattatore o sottoclasse uno di quelli di base e cercare l'output per la password e sostituirlo con XXXXXXXXX. Quindi impostare il gestore alla classe: https://hc.apache.org/httpcomponents-client-ga/logging.html
Cosa succede se la pagina richiesta richiede la password semplice? –
In log4j.properties set
log4j.logger.httpclient.wire.level=WARN
HttpClient registra tutto ciò che passa attraverso la rete e attraverso di essa. Non sa cosa sia una password e cosa no. –