SEC-011 P2: 日誌包含 Deep Link URLs 洩漏敏感參數
Resolved 💬 2 comments Opened Mar 22, 2026 by stephen-taipei Closed Mar 25, 2026
問題描述
logDebug 記錄完整的 URL(包括所有查詢參數),若 URL 包含 token、email 或其他 PII,日誌可被分析工具傳輸。
檔案位置
ios-swift/Connectors/ConnectorsApp.swift:99(Received URL)ios-swift/Connectors/ConnectorsApp.swift:128(Forwarding deep link)
詳細說明
logDebug("[ConnectorsApp] Received URL: \(url)", category: .auth) // 記錄完整 URL
logDebug("[ConnectorsApp] Forwarding deep link to AppCoordinator: \(url)", category: .auth)
風險評估
- 日誌可被 Crash Reporter、分析工具傳輸
- 敏感參數(token、email)可能被外洩
- 日誌檔案在設備備份中不加密
解決方案
- 在日誌中隱藏敏感參數(只顯示 scheme 和 path)
- 對敏感值掩蔽(如只顯示前 4 字元)
- 使用條件編譯 (#if DEBUG) 限制詳細日誌至開發版本
This issue has 2 comments on GitHub. Read the full discussion on GitHub ↗