0

我实现了我的用户身份验证,包括在 pre-save-hook 中的 mongoose 中的密码散列(参见文章https://www.mongodb.com/blog/post/password-authentication-with-mongoose-part-1)。

一切正常,但我发现了一个安全问题:WiredTiger 在执行钩子之前记录日志,因此我在服务器上获得了一个日志文件,其中包含明文形式的密码。

我启用了文件加密(https://docs.mongodb.com/manual/tutorial/configure-encryption/),但这并不能完全解决这个问题,因为 root 用户等仍然可以访问。

有没有可能解决这个问题?

问候,托拜厄斯

4

1 回答 1

0

解决方案实际上很简单:不是在“预保存”中进行散列,而是现在在“预验证”中进行,WiredTiger 记录散列密码。

于 2017-05-30T07:41:38.797 回答