Воспроизведение атак с использованием cookie-сессии: Rails 2.0

Question

Я использую rails 2.0.5 с сеансом cookie.

, но сессия cookie имеет серьезную проблему с возможностью повторных атак. Как предотвратить повторные атаки с помощью cookie store?

Я надеюсь, что плагин Rails 2.0 использует или конкретные исходные коды примеров.

Не могли бы вы мне помочь?

больше информации больше информации

Answer 1

Хранилище сеансов cookie не более подвержено атакам воспроизведения, чем другие хранилища сеансов rails. В то время как хранилище cookie хранит зашифрованные данные сеанса в cookie, другие хранилища содержат идентификатор сеанса - одинаково ценный для злоумышленника. Это также верно в большинстве веб-фреймворков. Кроме использования SSL, я не верю, что есть какой-либо способ предотвратить эти атаки.

Answer 2

Я думаю, что единственный способ предотвратить их - использовать соединение SSL.

Но я думаю, что вы будете в безопасности даже без такового, если не будете хранить конфиденциальные данные (например, пароли) в сеансе и убедитесь, что вы установили для них разумное время истечения.