0

多くの Rails アプリは、CookieStore メソッドを使用してセッションを保存します。このメソッドのセキュリティは、主に config/environment.rb でデフォルトで定義されているセッション秘密鍵のセキュリティに依存します。

config.action_controller.session = {
    :session_key => '_some_name_session',
    :secret      => 'long secret key'
}

私を含むほとんどの人は、このファイルを SCM リポジトリに保管しています。これは、コーヒー ショップ (または任意のオープンなワイヤレス接続) で作業を行ってソースをコミットすると、誰かがこの秘密を盗み、アプリケーションの有効なセッションを作成し始める可能性があるということですか? 私がコミットしたファイルを他人が傍受することはできませんか? これはかなりまともなセキュリティホールのようです。

4

2 に答える 2

4

https または SSH 以外のプロトコルでコミットしている場合は、そう思います。あなたのリモート リポジトリ サーバーを制御している人がポート 443 ではなく 80 を使用している場合、私は座って彼らと話し合うでしょう。

于 2009-07-13T18:34:12.227 に答える
0

必ずしも。Subversion と話している場合は、HTTP アドレスではなく HTTPS アドレスを使用することを選択でき、ローカル マシンとバージョン管理サーバー間のすべての通信が安全になります。

Git と Mercurial が同じ機能を提供していなかったら、私は非常に驚くでしょう。

于 2009-07-13T18:34:37.387 に答える