3

私は最近 Rails 4 にアップグレードし、セッション ストレージとして暗号化された Cookie に切り替えました。残念ながら、これはリプレイ攻撃が可能であることを意味しているようです。つまり、ユーザーがログアウトした場合、Cookie は無効にならず、ユーザー/パスなしで認証に使用できます。私が知る限り、これは暗号化された Cookie の仕組みの欠陥です (私が間違っている場合は教えてください!)。私の質問は、暗号化された Cookie を使用してリプレイ攻撃を防ぐための受け入れられた解決策はありますか?

4

1 に答える 1