deviseは、通常のhttp://接続を介したセッションハイジャックに対して脆弱ですか?ドキュメントからそれを理解するのに問題があります。
質問する
2776 次
2 に答える
8
はい。セッションを管理するための Rails のデフォルトの方法は、ハイジャックの影響を受けやすくなっています。
これは、クライアントが HTTP Cookie で自分自身を識別するためにさらに必要とするすべての情報をクライアントに送信するためです。ほとんどの場合、HTTP 接続を傍受できる人は誰でも、Rails の観点からクライアントの ID を引き受けることができます。
最も簡単な対策は、HTTPS 経由でのみサイトを提供し、Rails がsecureCookie を発行するようにすることです。これにより、HTTPS 経由でのみその Cookie を送信するようブラウザーに指示します。セキュリティ ガイドには、さらに役立つヒントがあります。
于 2012-10-13T20:20:34.320 に答える
5
Devise ディスカッション グループのこのメールで述べたように、アプリケーションのセキュリティ設定はメイン アプリケーションのドメイン内にあります (この場合、Rails と仮定します)。
RailsCast のエピソード - Dangers of Session Hijackingをチェックして、Rails アプリケーション レベルでのセッション ハイジャックに対処してください。
Rails Security Guide の Session Hijacking に関するセクションも必読のリソースです。
Devise は、Rails アプリ:secure => trueのファイルに設定することにより、SSL のみの Cookie を強制する機能を提供します。config/initializers/devise.rb
于 2012-10-13T20:07:39.967 に答える