1
J'utilise des cookies pour gérer les sessions utilisateur dans mon application Rails. J'ai récemment constaté que lorsqu'un utilisateur change le mot de passe, le cookie n'est pas invalidé comme prévu. Comme vous le savez, cela pourrait être une grande menace pour la sécurité. Comment dois-je gérer ce problème? Je veux expirer ou invalider un cookie une fois que l'utilisateur a changé le mot de passe. Comment puis-je faire cela dans Rails. Merci.invalider un cookie lors d'un changement de mot de passe
Cela n'empêchera pas un attaquant qui a obtenu l'accès au cookie d'un utilisateur et est toujours connecté depuis un autre ordinateur. Même si l'utilisateur change son mot de passe, l'attaquant sera toujours connecté en raison de l'ancien cookie. –
Vous ne devriez pas compter uniquement sur les cookies; chaque session devrait avoir un jeton de session côté serveur qui peut être détruit/réinitialisé rendant le cookie des clients inutile. – DRL