Warning: file_get_contents(/data/phpspider/zhask/data//catemap/5/ruby/25.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Ruby on rails Rails生成的会话密钥真的对预测攻击免疫吗_Ruby On Rails_Ruby_Security_Openssl - Fatal编程技术网
Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails Rails生成的会话密钥真的对预测攻击免疫吗

Ruby on rails Rails生成的会话密钥真的对预测攻击免疫吗

ruby-on-rails ruby security openssl

Ruby on rails Rails生成的会话密钥真的对预测攻击免疫吗,ruby-on-rails,ruby,security,openssl,Ruby On Rails,Ruby,Security,Openssl,我们使用了一个自动渗透测试服务提供商来扫描我们的Rails web应用程序,并发现了一些我们设法修复最多的漏洞。现在,在进行另一轮测试后,我们发现了一个漏洞,指出会话强度不好,这意味着会话令牌是可预测的,并且表现出较低的随机性,从而使应用程序暴露于会话预测攻击。我们正在使用ruby 2.5.3p105、Rails 5.2.2、Desive 4.5.0,并为Heroku的应用程序提供服务。我们使用CookieStore进行会话存储。这真的是由ruby使用的CSPRNG(OpenSSL或/dev/u

我们使用了一个自动渗透测试服务提供商来扫描我们的Rails web应用程序,并发现了一些我们设法修复最多的漏洞。现在,在进行另一轮测试后,我们发现了一个漏洞,指出会话强度不好,这意味着会话令牌是可预测的,并且表现出较低的随机性,从而使应用程序暴露于会话预测攻击。我们正在使用ruby 2.5.3p105、Rails 5.2.2、Desive 4.5.0,并为Heroku的应用程序提供服务。我们使用CookieStore进行会话存储。这真的是由ruby使用的CSPRNG(OpenSSL或
/dev/uradom
提供的CSPRNG)在测试运行期间没有提供足够的熵造成的吗?我们可以做些什么来增加生成的会话密钥的随机性,以使失败的测试通过?

当使用CookieStore时,该值不是随机会话密钥,而是包含服务器加密(并签名)会话内容的可预测形状的值

如果一个工具(或人类)把它误认为是一个随机的秘密,那么它看起来确实不是完全随机的。这是不应该的。但如果不打破AES256,这也是不可预测的