J'utilise des cookies pour gérer les sessions utilisateur dans mon application Rails. J'ai récemment constaté que lorsqu'un utilisateur change le mot de passe, le cookie n'est pas invalidé comme prévu. Comme vous le savez, cela pourrait être une grande menace pour la sécurité. Comment dois-je gérer ce problème? Je veux expirer ou invalider un cookie une fois que l'utilisateur a changé le mot de passe. Comment puis-je faire cela dans Rails. Merci.invalider un cookie lors d'un changement de mot de passe
1
A
Répondre
0
Détruisez la session comme vous le feriez lors d'une déconnexion; et demander à l'utilisateur de se reconnecter.
http://api.rubyonrails.org/classes/ActionController/Base.html#M000474
Questions connexes
- 1. adhésion changement mot de passe
- 2. Changement de mot de passe de Sharepoint
- 3. LD iisadmpwd - changement expiré mot de passe
- 4. DirectoryServices.AccountManagement mot de passe « vieux » valide encore après le mot de passe changement
- 5. Valider le mot de passe lors du changement de certains champs dans RoR
- 6. héritage des résultats du modèle d'utilisateur django en erreur lors du changement de mot de passe
- 7. Changement de mot de passe Grails: Autoriser seulement les "nouveaux" mots de passe
- 8. Changement de cookie Nom JSESSIONID
- 9. Mot de passe et confirmer le mot de passe
- 10. Comment implémenter un mot de passe de changement dynamique pour ce scénario?
- 11. Comment script un changement de mot de passe pour une connexion au serveur SQL?
- 12. ASMX: Réglage utilisateur/mot de passe lors de l'exécution
- 13. Réponse de l'accès VBA lors de la remise mot de passe incorrect pour l'importation de mot de passe crypté
- 14. Python md5 valeur de mot de passe
- 15. Cryptage de mot de passe
- 16. mettre en place un mot de passe!
- 17. Mot de passe du modèle utilisateur champ Champ de mot de passe par défaut dans django
- 18. Comment ajouter un mot de passe à une clé privée OpenSSH générée sans mot de passe?
- 19. Squid demande un nom d'utilisateur et un mot de passe lors de l'utilisation de NTLM
- 20. storeage et récupération de mot de passe
- 21. cohérence de mot de passe MySQL
- 22. Image.FromFile avec un mot de passe de nom d'utilisateur. C#
- 23. Enregistrer le mot de passe crypté et le mot de passe ou simplement stocker le mot de passe crypté?
- 24. Jquery Ajax mot de passe de validation
- 25. Wordpress pages protégées par mot de passe
- 26. Comment remplacer la page de mot de passe de changement administratif de Django?
- 27. perl mot de passe confirmation
- 28. Comment implémenter une vérification de changement de mot de passe dans Powershell?
- 29. Mot de passe SQL Server
- 30. Mot de passe Windows Hashed
Cela n'empêchera pas un attaquant qui a obtenu l'accès au cookie d'un utilisateur et est toujours connecté depuis un autre ordinateur. Même si l'utilisateur change son mot de passe, l'attaquant sera toujours connecté en raison de l'ancien cookie. –
Vous ne devriez pas compter uniquement sur les cookies; chaque session devrait avoir un jeton de session côté serveur qui peut être détruit/réinitialisé rendant le cookie des clients inutile. – DRL