代码之家  ›  专栏  ›  技术社区  ›  Tony

从Rails应用程序破解CookieStore创建的cookie有多容易?

cookiestore security ruby-on-rails
  •  1
  • Tony  · 技术社区  · 16 年前

    我读过很多东西说在Rails应用程序中使用cookie存储的一个缺点是客户端可以看到cookie数据。但是,我查看了cookie数据,它是加密的。解密cookie数据相对容易吗?

    3 回复  |  直到 16 年前
        1
  •  6
  •   Meredith L. Patterson    16 年前

    Rails中的默认cookie存储没有加密,它是base64编码的。base64编码只是一种用ASCII表示二进制数据的方法,任何人都不能想象它是“加密”;任何人都可以对它进行解码。

        2
  •  2
  •   dave elkins    16 年前

    存储的会话数据使用您在config.rb文件中设置的以下信息进行签名。 

    Rails::Initializer.run do |config|
  config.action_controller.session = {
    :session_key => '_store_session',
    :secret      => '851939c37d94574e284ded8437d4ea3447dae24cc5bda61d8eaf2731d49273bc4c620'
  }
end

    因此,虽然阅读起来不容易,但只要有足够的时间和精力,这是不可能的。

    下面是一系列详细讨论这个问题的链接,但大家普遍认为这不是一个有缺陷的实现,您不应该在会话中存储任何过于关键的内容。

        3
  •  1
  •   Cheekysoft Moz Morris    16 年前

    值得一提的是,Rails<1.2.6存在会话固定漏洞,因此很容易窃取他人的ID/会话。

    Rails 1.2.4发行说明 http://weblog.rubyonrails.org/2007/10/5/rails-1-2-4-maintenance-release

    Rails 1.2.6发行说明 http://weblog.rubyonrails.org/2007/11/24/ruby-on-rails-1-2-6-security-and-maintenance-release

    CVE-2007—5380 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5380

    CVE-2007—6077 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6077

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号