rubycas 自体は https で実行されているが、実際のサイトは http で実行されている場合に、どの程度のセキュリティ リスクがあるかを判断しようとしています。私がこの問題に直面している理由は、サイトが heroku にデプロイされているためです。つまり、ssl は非常に高価であるか、非常に面倒です。
ログインの詳細に加えて、セッションに保存されるユーザー ロール (承認) も各サイトに渡します。
どんな入力でも大歓迎です。
1 に答える
3
このアプローチの問題は、セッション ID (URL または Cookie) も交換データも暗号化されないことです。したがって、サーバーからユーザーへの途中でも、ユーザーからサーバーへの途中でも、データを読み取って操作することができます。
トラフィックを操作せずに盗聴するだけの受動的な攻撃者でさえ、損害を与える可能性があります。攻撃者はセッション ID を自分のブラウザにコピーするだけで済みます。多くの場合、パブリックワイヤレス接続では透過的なプロキシが使用されるため、攻撃者と被害者の両方が同じパブリック IP アドレスを持っているため、アプリケーションがそれらを区別することが困難になります。
この種の攻撃を非常に簡単にするFiresheepというツールがあります。
于 2011-05-21T18:49:20.670 に答える