エラー処理とログ作成
常に安全に失敗します。
• 攻撃者に利用される可能性がある機密データを含むエラーメッセージは出力されません。
ユーザーに表示されるエラーメッセージに以下が含まれないようにします。
◦ スタックトレース
◦ サーバーシステム情報
▪ セッション ID
▪ ホスト名
▪ ポート番号
▪ ファイルシステムパス
◦ 権限がないアプリケーションオブジェクトの情報
• 汎用標準エラーメッセージのフォーマットとページを使用します。
• 詳細なアプリケーションエラーと例外はデバッグ目的でのみログに記録されます。
• パスワードの値はログに記録されません。カスタムコードによってパスワードを管理してはなりません。
• セキュリティログは不正なアクセスと修正から保護されます。
• 標準のログ API とセキュリティ監査 API を使用します。
• 例外は、構造化された例外ハンドラを使用して適切に処理されるか、呼び出しスタックに渡されます。