Domů / Docs
Jak DiffMon funguje v oblasti monitoringu, alertů, bezpečnosti a API integrace.

Citlivá data monitoru

Jak DiffMon zachází s přihlašovacími údaji monitoru, hlavičkami, payloady, retencí a mazáním.

Než začnete monitorovat citlivé systémy

DiffMon umí monitorovat autentizovaná API i stránky, takže může pracovat se systémy, které vracejí chráněné nebo interní odpovědi. Před nasazením monitoru je důležité rozumět tomu, jaká konfigurace se ukládá, kdy se mohou uchovávat plná těla odpovědí a jak minimalizovat zbytečné riziko.

Pro širší bezpečnostní a datový přehled začněte na stránce Bezpečnost.

Co může být v monitoru citlivé

  • tokeny Bearer
  • cookies
  • API klíče
  • vlastní autorizační hlavičky
  • podepsaná URL
  • těla požadavků
  • těla odpovědí
  • zákaznická nebo interní data obsažená v monitorovaných payloadech

Tajné údaje do monitoru ukládejte jen tehdy, když jsou pro kontrolu skutečně potřeba.

Přihlašování a vlastní hlavičky

  • Hodnoty zadané na kartě Auth se považují za tajné údaje pro odchozí požadavky monitoru.
  • Tajné údaje monitoru se ukládají šifrovaně v klidu.
  • Po uložení se původní tajná hodnota nevrací zpět do rozhraní.
  • Hodnoty v ručně zadaných vlastních hlavičkách se ukládají jako konfigurace monitoru, proto do nich nevkládejte široce použitelné tajné údaje, pokud to monitor opravdu nevyžaduje.
  • API tokeny se řeší odděleně a ukládají se jako nevratné hashe. Viz API tokeny.

S tokeny Bearer, cookies a vlastními autorizačními hlavičkami zacházejte jako s uloženým tajným materiálem a používejte co nejužší rozsah oprávnění.

Kdy se mohou ukládat těla odpovědí

  • V režimu Content může DiffMon ukládat těla odpovědí a odvozené diffy, aby mohl porovnávat změny v čase.
  • V režimu Headers only nebo Status only se obsah těla pro daný monitor neukládá.
  • V retenčním okně mohou existovat jak původní, tak změněné artefakty, pokud je produkt potřebuje pro důkazní materiál nebo historii diffů.
  • Metadata diffů a běhů nejsou totéž co úplné payload artefakty.

Jak minimalizovat ukládání citlivých dat

  • Ukládejte tajné údaje do karty Auth, ne do ručně zadaných hlaviček, kdykoli to monitor podporuje.
  • Pokud se těla odpovědí nemají ukládat, používejte režim Headers only nebo Status only.
  • Pomocí pravidel pro extrakci a ignorování minimalizujte retenovanou část odpovědi.
  • Omezte přístup ke konfiguraci monitorů a payloadům jen na uživatele, kteří je potřebují.
  • Při změně lidí nebo dodavatelů rotačně měňte přihlašovací údaje a rušte nepotřebné API tokeny i webhook secrety.

Co zvážit u browser-render monitoringu

Browser-render monitoring má širší provozní plochu než jednoduchý HTTP fetch. DiffMon používá izolované kontexty prohlížeče, nepřenáší cookies ani místní úložiště mezi běhy a blokuje nebezpečná schémata i přístup k lokálním souborům. To snižuje riziko přetrvávání citlivých dat, ale neznamená to, že byste měli bez rozmyslu monitorovat citlivý obsah.

Retence je u citlivých monitorů důležitější

Retence snapshotů, diffů a payloadů se řídí plánem workspace. Viz Retence.

  • Free - 3 dny
  • Hobby - 30 dnů
  • Pro - 180 dnů
  • Business / Enterprise - individuálně

Po vypršení retence se payload bloby mažou, ale část provozních metadat může zůstat kvůli integritě a auditu. Lifecycle payloadů a snapshot metadata není vždy totožný.

FAQ pro operátory

Co když vložím token Bearer do autentizace monitoru?
Zacházejte s ním jako s uloženým tajným materiálem monitoru a zkontrolujte rozsah oprávnění daného přístupového údaje.

Co když vložím tajný údaj do vlastní hlavičky?
Používejte to jen tehdy, když je to nutné. Preferujte co nejužší přístupový údaj a vyhněte se široce použitelným tokenům.

Ukládají se těla odpovědí vždy?
Ne. Uložení závisí na režimu monitoru a chování produktu; režimy minimalizující ukládání těl jsou dostupné pro méně citlivé případy.

Může podpora vidět moje tajné údaje nebo payloady ze support formuláře?
Tok pro podporu vylučuje autorizační hlavičky, cookies, snapshot payloady a URL webhooků.

Související dokumenty