J'utilise les rails 2.0.5 avec la session cookie.Rejouer les attaques avec cookie session: Rails 2.0
mais la session de cookie a le problème sérieux avec la possibilité d'attaques de rejeu. Comment puis-je empêcher la relecture d'attacs avec cookie store?
J'espère qu'un plug in de Rails 2.0 utilisera des codes d'exemple de source concrète.
Pourriez-vous m'aider?
more information more information
Je pense que la seule façon de les empêcher est d'utiliser une connexion SSL. Mais je pense que vous serez en sécurité même sans un, tant que vous ne stockez pas de données sensibles (comme les mots de passe) dans la session et assurez-vous que vous définissez une durée d'expiration raisonnable pour eux.
Le magasin de sessions de cookies n'est pas plus sensible aux attaques de relecture que les autres magasins de sessions. Alors que le cookie stocke les données de session cryptées dans le cookie, d'autres magasins contiennent l'identifiant de session, ce qui est également précieux pour un attaquant. Cela est également vrai dans la plupart des frameworks web. Autre que l'utilisation de SSL, je ne crois pas qu'il existe un moyen d'empêcher ces attaques.
Merci! mais puis-je l'empêcher? – freddiefujiwara
J'ai un peu raté la question la première fois ... désolé pour ça .. :) – andi