最近セキュリティ監査を受けたRailsアプリに取り組んでいます.彼らが思いついた問題の1つは、ユーザーが別のユーザーのCookieから「session_id」を取得すると、そのユーザーとしてログインできることです. これを防ぐことは可能ですか?現在のセットアップでどうすればよいですか?
Rails 3.2.12 デバイス
(2.1.2)
私のconfig/initializers/session_store.rbは
MyApp::Application.config.tap do |config|
config.session_store :active_record_store, config.session_options
end
本番環境で SSL を強制的に有効にする
config.force_ssl = true
Rails 4 Encrypted Cookie Replay Attackを見ましたが、セッションにアクティブなレコードを使用しているため、同じことができるかどうかわかりません。
Devise security extension:session_limitableから追加しようとしましたが、まったく別のことをしているようです。
セキュリティテストの結果を引用するには
一度に 1 つのログインのみがアクティブになるようにして、セッションのリプレイを軽減します。-- 「_session_id」Cookie を変更するだけで別のユーザーとしてログインできる