簡體 English 中英

將redis-rails用作會話存儲是否安全？

[英]Is it secure to use redis-rails as session store?

原文 2017-09-10 18:47:18 6 1 ruby-on-rails/ session-cookies/ redis-rails

當用作會話存儲時，我注意到redis-rails將會話ID以未加密的格式保存在cookie中。 不應將會話ID視為安全信息，並且不將其暴露在未經加密的cookie中以阻止會話劫持嘗試嗎？

1 個解決方案

沒有。

會話標識符cookie是將客戶端鏈接到會話的唯一（不錯的）方法。 客戶必須具有可以隨請求一起傳遞的某種聲明，以便我們可以識別它們。

無論您使用CookieStore，Redis，ActiveRecord還是memcached，這都適用。

使用固定鹽或不加鹽對會話標識符進行加密絕對不會浪費時間，因為攻擊者無論如何在中間人攻擊或XSS攻擊中都可以訪問cookie。

如果您使用了鹽，則還必須將其鏈接到用戶。 現在您有兩個問題，而不是一個。

盡管您可以使用一堆新穎的方法，例如對用戶代理，ip或其他您認為對客戶端了解的方法加鹽，但安全性益處很少。

正如@pvg所說：

會話ID僅必須是隨機的，不可預測的並且足夠大。

保護會話的有意義的方法是：

使用https阻止中間人攻擊。
登錄和注銷用戶時，請調用reset_session以避免會話固定。
清理用戶輸入以避免XSS。

redis-rails和connection_pool的問題

[英]Issues with redis-rails and connection_pool

使用redis-rails，如何刪除除會話緩存以外的所有內容？

[英]with redis-rails, how to delete all but sessions cache?

使用 Redis 存儲 Rails session

[英]Store Rails session using Redis

Rails使用Redis作為Unicorn的會話存儲

[英]Rails using Redis as session store with Unicorn

Rails：從Active Record Session Store遷移到Redis Store

[英]Rails: Moving from Active Record Session Store to a Redis Store

為Rails編寫加密的cookie會話存儲；我的方法安全嗎？

[英]Writing an encrypted cookie session store for Rails; is my approach secure?

升級到Rails 5.2時保持現有會話（使用Redis會話存儲）

[英]Keeping Existing Sessions When Upgrading to Rails 5.2 (with Redis Session Store)

使用Redis作為會話存儲

[英]Using redis as a session store

Rails：安全會話Cookies

[英]Rails : Secure Session Cookies

Rails 4 和 Rails 5 在 Redis 中共享 session

[英]Rails 4 and Rails 5 share session in Redis

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 redis-rails和connection_pool的問題使用redis-rails，如何刪除除會話緩存以外的所有內容？使用 Redis 存儲 Rails session Rails使用Redis作為Unicorn的會話存儲 Rails：從Active Record Session Store遷移到Redis Store 為Rails編寫加密的cookie會話存儲；我的方法安全嗎？升級到Rails 5.2時保持現有會話（使用Redis會話存儲）使用Redis作為會話存儲 Rails：安全會話Cookies Rails 4 和 Rails 5 在 Redis 中共享 session

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM