![](/img/trans.png)
[英]Rails 4: Does Devise address session fixation by resetting session after login?
[英]session fixation
我是Web开发的新手,并试图控制安全问题。 我在http://guides.rubyonrails.org/security.html上浏览了这篇文章,这些是作者提到的攻击者如何修复会话的一些步骤。
我不明白几点。
1)攻击者在步骤1&2中收到尚未登录的会话。 这是陷阱会话。 在第5步,受害者登录认为会话ID是新的(和“秘密”)。 当受害者登录时,攻击者可以重新使用“秘密”会话ID,并且也可以有效登录。
因此,请回答您的问题:因为陷阱会话尚未登录,所以诱使受害者登录,以诱骗受害者使用此会话ID登录。
2)在解释了会话固定的步骤之后,第一个对策(第2.8节)是创建一个新的会话,并在登录后放弃旧的会话。这确实是您的主意!
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.