Обычные текстовые пароли в Ruby on Rails с использованием Restful_Authentication

Question

Если я использую restful_authentication в своем приложении ruby ​​on rails, будут ли пароли передаваться между сервером и сервером в виде текста? И если да, то как я должен беспокоиться об этом?

Answer 1

Если вы беспокоитесь о конфиденциальности паролей (и вы должны быть), вы также захотите добавить эту строку в свой ApplicationController:

filter_parameter_logging :password

В противном случае пароли будут заканчиваться в виде простого текста в ваших файлах журнала.

Answer 2

Что ж, вам нужно беспокоиться, если вы не размещаете его через HTTPS ... потому что если это прямой HTTP, то да, он передается в виде открытого текста.

Я не знаю конкретно Rails, но я почти уверен, что это не имеет никакого отношения к тому, размещаете ли вы его через HTTP или HTTPS.

Редактировать: я нашел эту ссылку , которая, по-видимому, предоставляет пример приложения Rails по HTTPS.

Дальнейшее редактирование: Вот другая ссылка , обсуждающая HTTPS с Rails.

Answer 3

Вы обязательно должны взглянуть на драгоценный камень bcrypt. Он будет хэшировать все пароли для вас.

Answer 4

Аутентификация с помощью простого текста может быть выполнена с помощью протоколов CHAP. Это возможно через HTTP?

Я спрашиваю, потому что я думаю, что для предотвращения повторных атак потребуется некоторое состояние на сервере - состояние на сервере - это то, что нужно устранить с помощью RESTful-архитектур, верно?