75 votes

Jeff Puckett avatar

Comment masquer les mots de passe .env dans la sortie Laravel Whoops ?

Demandé el 25 de Septembre, 2017
Quand la question a-t-elle été
13202 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment puis-je masquer mes mots de passe et autres variables d'environnement sensibles à l'écran dans la sortie whoops de Laravel?

Parfois, d'autres personnes regardent mon travail de développement. Je ne veux pas qu'ils voient ces secrets en cas d'exception, mais je ne veux pas non plus devoir basculer constamment le débogage ou créer un site dédié juste pour un aperçu rapide.

capture d'écran de la sortie whoops avec les mots de passe affichés

Demandé el 25 de Septembre, 2017 par Jeff Puckett

Réponses

Trop de publicités?

112voto

Jeff Puckett avatar
Jeff Puckett Points 13157

Dès Laravel 5.5.13, vous pouvez censurer les variables en les répertoriant sous la clé debug_blacklist dans config/app.php. Lorsqu'une exception est lancée, Whoops masquera ces valeurs avec des astérisques * pour chaque caractère.

Par exemple, en utilisant ce config/app.php

return [

    // ...

    'debug_blacklist' => [
        '_ENV' => [
            'APP_KEY',
            'DB_PASSWORD',
            'REDIS_PASSWORD',
            'MAIL_PASSWORD',
            'PUSHER_APP_KEY',
            'PUSHER_APP_SECRET',
        ],
        '_SERVER' => [
            'APP_KEY',
            'DB_PASSWORD',
            'REDIS_PASSWORD',
            'MAIL_PASSWORD',
            'PUSHER_APP_KEY',
            'PUSHER_APP_SECRET',
        ],
        '_POST' => [
            'password',
        ],
    ],
];

Résulte en cette sortie:

page d'exception Whoops

Répondu el 25 de Septembre, 2017 par Jeff Puckett (13157 Points )

1 votes

Avatar de Christophvh

Il pourrait être utile de soumettre une pull request pour la documentation de Laravel.

Commenté el 25 de Septembre, 2017 par Christophvh

0 votes

Avatar de eiipaw

@JeffPuckett Ah, vous avez raison, j'ai pensé à tort que .13 est inférieur à .4 comme vous le feriez avec des décimales

Commenté el 5 de Octobre, 2017 par eiipaw

0 votes

Avatar de Adam Patterson

Y a-t-il une raison pour laquelle cela ne fonctionnera pas dans Laravel 5.7? J'ai trouvé registerBlacklist à l'intérieur de WhoosHander sous les Fondations de Laravel, mais autant que je puisse dire, il n'est pas utilisé.

Commenté el 17 de Juin, 2019 par Adam Patterson

79voto

Raheel Hasan avatar
Raheel Hasan Points 1317

Tout d'abord, j'adore la solution de Jeff ci-dessus.

Ensuite, si comme moi vous voulez masquer toutes les variables d'environnement tout en utilisant toujours whoops, voici une solution:

'debug_blacklist' => [
        '_COOKIE' => array_keys($_COOKIE),
        '_SERVER' => array_keys($_SERVER),
        '_ENV' => array_keys($_ENV),        
    ],

Sortie:

entrez la description de l'image ici

MODIFIER: La légende raconte qu'à partir de Laravel 7x, vous auriez besoin de la clé debug_hide à la place

Répondu el 6 de Décembre, 2017 par Raheel Hasan (1317 Points )

24 votes

Avatar de warmwhisky

Merci pour cela. Je suis toujours confus pourquoi les gens voudraient que toutes les variables d'environnement soient imprimées à l'écran à chaque erreur.

Commenté el 14 de Décembre, 2017 par warmwhisky

6 votes

Avatar de Raheel Hasan

Exactement homme .. peut-être dire 10% le voudrait .. mais PAS 90% des développeurs Laravel!

Commenté el 14 de Décembre, 2017 par Raheel Hasan

8 votes

Avatar de warmwhisky

Entendu ! J'ai accidentellement exposé ma clé d'API de mailgun il y a quelques mois, ce qui a résulté en plus de 1200 e-mails de phishing qui sont passés par mon compte. Horrible ! Si jamais j'ai besoin de voir ce qu'il y a dans mon environnement, je le fais à l'ancienne en ouvrant la foutue chose !

Commenté el 14 de Décembre, 2017 par warmwhisky
Afficher 7 autres commentaires

12voto

erlangsec avatar
erlangsec Points 1546

Merci Jeff et Raheel pour votre aide, mais je viens de trouver un petit piège :

Même si je supprime toutes les clés d'environnement de _ENV, les mêmes clés sont TOUJOURS exposées à travers les variables _SERVER listées.

Ajouter le code ci-dessous dans config/app.php masquerait toutes les variables d'environnement de la page whoops :

'debug_blacklist' => [
        '_SERVER' => array_keys($_ENV),
        '_ENV' => array_keys($_ENV),        
],
Répondu el 9 de Août, 2018 par erlangsec (1546 Points )

0 votes

Avatar de Marcel Cozma

Et en quoi cela diffère-t-il de la réponse de Raheel, mis à part la suppression de la ligne de cookie dans votre code ? A-t-il modifié sa réponse après la vôtre ?

Commenté el 28 de Septembre, 2018 par Marcel Cozma

5 votes

Avatar de erlangsec

Il existe une différence subtile mais significative entre '_SERVER' => array_keys($_SERVER) et '_SERVER' => array_keys($_ENV).

Commenté el 5 de Octobre, 2018 par erlangsec

8voto

Džuris avatar
Džuris Points 280

J'ai créé un package pour résoudre ce problème.

Il suffit de l'installer en utilisant

composer require glaivepro/hidevara

La plupart des variables serveur et toutes les variables d'environnement seront supprimées. Tous les champs ressemblant à des mots de passe dans $_POST auront leurs valeurs masquées.

Vous pouvez également le personnaliser en utilisant l'approche de liste noire ou liste blanche pour afficher/obscurcir/supprimer les champs à votre guise.

Répondu el 6 de Novembre, 2018 par Džuris (280 Points )

8voto

Benjamin Listwon avatar
Benjamin Listwon Points 31

La solution de @jeff + @raheel est géniale !!! Sur un projet récent, nous avons constaté que nous voulions parfois autoriser une ou deux propriétés, donc en nous basant sur ce qui précède, vous pouvez autoriser des propriétés spécifiques que vous voulez déboguer avec quelque chose comme :

'debug_blacklist' => [
    '_COOKIE' => array_diff(array_keys($_COOKIE), array()),
    '_SERVER' => array_diff(array_keys($_SERVER), array('APP_URL', 'QUERY_STRING')),
    '_ENV' => array_diff(array_keys($_ENV), array()),
],

Si vous souhaitez que cette liste puisse être configurée via .env, vous pouvez faire quelque chose comme :

'debug_blacklist' => [
    '_COOKIE' => array_diff(
        array_keys($_COOKIE),
        explode(",", env('DEBUG_COOKIE_WHITELIST', ""))
    ),
    '_SERVER' => array_diff(
        array_keys($_SERVER),
        explode(",", env('DEBUG_SERVER_WHITELIST', ""))
    ),
    '_ENV' => array_diff(
        array_keys($_ENV),
        explode(",", env('DEBUG_ENV_WHITELIST', ""))
    ),
],

Ensuite, dans votre .env, faites quelque chose comme :

DEBUG_SERVER_WHITELIST="APP_URL,QUERY_STRING"

Santé!

Répondu el 8 de Mars, 2019 par Benjamin Listwon (31 Points )

0 votes

Avatar de Jesse Orange

Je voudrais simplement mentionner que ceci peut être ajouté dans app.php

Commenté el 23 de Juillet, 2019 par Jesse Orange

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X