Est-ce facile de cracker un cookie créé par CookieStore à partir d'une application Rails?

J'ai lu un tas de choses en disant que l'un des inconvénients de l'utilisation du magasin de cookies dans une application Rails est que le client peut voir les données de cookie. Cependant, j'ai regardé les données de cookie et il est chiffré. Est-il relativement facile de déchiffrer les données de cookie?Est-ce facile de cracker un cookie créé par CookieStore à partir d'une application Rails?

Source

2009-08-04 Tony

La banque de cookies par défaut dans Rails n'est pas cryptée, elle est codée en Base64. L'encodage Base64 est simplement un moyen de représenter des données binaires en ASCII, et ne devrait pas être considéré comme un "cryptage" par un quelconque effort d'imagination; n'importe qui peut le décoder.

Source

2009-08-04 21:57:32

ah , c'est le ticket. – Tony

Les données de session stockées sont signées en utilisant les informations ci-dessous que vous avez configurées dans votre fichier config.rb.

Rails::Initializer.run do |config| 
    config.action_controller.session = { 
    :session_key => '_store_session', 
    :secret  => '851939c37d94574e284ded8437d4ea3447dae24cc5bda61d8eaf2731d49273bc4c620' 
    } 
end

Alors que ce n'est pas facile à lire, ce n'est pas impossible avec suffisamment de temps et d'effort.

Voici un tas de liens qui traitent longuement de ce problème, mais le consensus général est qu'il ne s'agit pas d'une implémentation imparfaite et que vous ne devriez rien stocker dans la session qui soit trop critique.

Source

2009-08-04 22:04:21

Les données côté client ne sont pas cryptées, elles sont signées avec la clé secrète. Grande différence. La signature signifie que le client peut vérifier si les données du cookie ont été falsifiées (si elles ont été modifiées, la signature ne correspondra pas), mais cela n'empêche personne qui intercepte les données de cookie de pouvoir le lire. –

un bon article de carsonified.com sur les cookies sécurisés: http://carsonified.com/blog/dev/how-to-create-totally-secure-cookies/ –

Il faut savoir que les rails < 1.2.6 a souffert d'une vulnérabilité session fixation rend facile voler ID/session de quelqu'un d'autre

Rails 1.2.4 Release Notes http://weblog.rubyonrails.org/2007/10/5/rails-1-2-4-maintenance-release

Rails 1.2.6 Notes de http://weblog.rubyonrails.org/2007/11/24/ruby-on-rails-1-2-6-security-and-maintenance-release

CVE-2007-5380 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5380

CVE-2007-6077 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6077

Source

2009-08-05 16:36:47 Cheekysoft