Ruby on rails 如何将cookie锁定到机器上?
作为渗透测试过程的结果,我被建议将cookie锁定到它设置的机器上,以阻止它被传输并用于登录其他地方 该应用程序基于RailsRuby on rails 如何将cookie锁定到机器上?,ruby-on-rails,ruby,ruby-on-rails-3,cookies,session-cookies,Ruby On Rails,Ruby,Ruby On Rails 3,Cookies,Session Cookies,作为渗透测试过程的结果,我被建议将cookie锁定到它设置的机器上,以阻止它被传输并用于登录其他地方 该应用程序基于Rails 有人知道我会怎么做吗?虽然你不能将cookie真正锁定到一台机器上,但你可以确保特定的cookie仅由特定的IP地址使用,这通常是人们在本安全提示中的意思。最好在服务器端会话数据中维护该映射,而不是将该信息存储在cookie本身中(因为其他人可以编辑cookie)。谢谢!我是否正确地认为,使用会话密钥保护cookie仅通过SSL发送将“锁定”它们?通过锁定到IP,我可以
有人知道我会怎么做吗?虽然你不能将cookie真正锁定到一台机器上,但你可以确保特定的cookie仅由特定的IP地址使用,这通常是人们在本安全提示中的意思。最好在服务器端会话数据中维护该映射,而不是将该信息存储在cookie本身中(因为其他人可以编辑cookie)。谢谢!我是否正确地认为,使用会话密钥保护cookie仅通过SSL发送将“锁定”它们?通过锁定到IP,我可以看到的问题是,如果在笔记本电脑上,或者从家里带到办公室等…?通过SSL发送的cookie与SSL会话的其余部分一起加密(因此firesheep等人无法截获),但我不认为HTTP对加密存储的cookie数据提出任何硬要求。不过,我相信主流浏览器确实使用本地加密cookie存储来存储SSL cookie。