<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 11 Mar 2021 at 17:56, Andrew Cagney <<a href="mailto:andrew.cagney@gmail.com">andrew.cagney@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
It's the error paths where we have problems - even if that is down to one line.<br>
We also have problems with code working src/dst (which could be<br>
incoming or outgoing).<br>
<br></blockquote><div><br></div><div>So I hacked a local branch to:</div><div><br></div><div>- add .is_sensitive to the ip_structures, and propagate it<br></div><div>- mark anything from the wire as sensitive</div><div>- mark any remote address (i.e., from recv) as sensitive<br></div><div>- force log_ip=false</div><div><br></div><div>and, yes, it is errors that lack sanitizing:</div><div><br></div><div>"test1" #1: Peer ID is ID_IPV4_ADDR: '<sensitive-address>'</div><div>"westnet-eastnet" #1: the peer proposed: <sensitive-selector> -<all>-> <sensitive-selector></div><div><br></div><div>It also turned up a counter problem: the code building up and then invoking up-down scripts should not be sanitized - we'd need jam_unsanitized*()?<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> > one place I know this will fall flat is with dbg() lines.  The current<br>
> > convention is to not sanitize addresses in dbg() lines, the above<br>
> > would make that impossible (short of str_endpoints_insensitive() ...<br>
><br>
> enabling verbose logging or debug is game over for privacy. We can't<br>
> start obfuscating things there.<br></blockquote><div><br></div><div>Enabling debugging could disable sanitizing, or I think better, warn of the conflict.</div><div>It can also be viewed as a feature - someone posting sensitive logs is less likely to leak an address<br></div><div><br></div>food for thought<div><br></div></div></div>