Ruby on rails 在Rails 4中公开会话id是否存在安全风险?
我正在Rails 4中开发一个令牌身份验证实现,其中用户的会话cookie值是加密的。加密cookie中包含用户的会话id(标准Rails 4会话) 作为令牌实现的一部分,如果会话id作为令牌的属性公开给浏览器,是否会被视为安全风险 会话id不会用作令牌身份验证过程的一部分。事实上,暂时忘记这与令牌身份验证有关 问题是:在Rails 4应用程序中向浏览器公开未加密的会话id是否存在安全风险? 我的回答是不,这不是一个风险,因为恶意用户将无法恶意构造加密会话cookie值,从而欺骗服务器,使其认为自己拥有伪造的会话id(至少在没有访问应用程序密钥的情况下是如此) 即使黑客伪造了会话id,我也不确定这对他们有什么帮助,因为会话id完全是随机的(据我所知),而且我们使用基于cookie的存储,因此值的更改对用户的影响很小Ruby on rails 在Rails 4中公开会话id是否存在安全风险?,ruby-on-rails,security,session,session-cookies,Ruby On Rails,Security,Session,Session Cookies,我正在Rails 4中开发一个令牌身份验证实现,其中用户的会话cookie值是加密的。加密cookie中包含用户的会话id(标准Rails 4会话) 作为令牌实现的一部分,如果会话id作为令牌的属性公开给浏览器,是否会被视为安全风险 会话id不会用作令牌身份验证过程的一部分。事实上,暂时忘记这与令牌身份验证有关 问题是:在Rails 4应用程序中向浏览器公开未加密的会话id是否存在安全风险? 我的回答是不,这不是一个风险,因为恶意用户将无法恶意构造加密会话cookie值,从而欺骗服务器,使其认为
我说得对吗?什么能阻止某人通过窃取整个cookie来劫持会话?我们在生产中使用SSL,因此我们可以合理地避免嗅探器和代理,但肯定还有其他方法可以窃取整个cookie。然而,我今天并没有试图解决这个问题。