senooken JP Social
  • FAQ
  • Login
senooken JP Socialはsenookenの専用分散SNSです。

  • Public

    • Public
    • Network
    • Groups
    • Popular
    • People

Conversation

Notices

  1. いつも魚とトマトを買いに来る客 (momosetkn@qiitadon.com)'s status on Saturday, 03-Nov-2018 22:09:02 JST いつも魚とトマトを買いに来る客 いつも魚とトマトを買いに来る客

    Rails セキュリティガイド | Rails ガイド https://railsguides.jp/security.html#cookiestore%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AB%E5%AF%BE%E3%81%99%E3%82%8B%E5%86%8D%E7%94%9F%E6%94%BB%E6%92%83

    RailsのCookie使ったセッション(CookieStore)ってセキュリティ的にどうなの?って思って調べてる。
    「この種のデータはセッションではなくデータベースに保存するのが最善です。」とかって書かれてるけど、実際に運用しているサービスでCookieStore使ってるのってあるのかな。

    ちなみに攻撃手法の説明に「ここでユーザーの暗黒面が発動。」とかって書かれてたが原典にはない日本語訳オリジナルだった。

    In conversation Saturday, 03-Nov-2018 22:09:02 JST from qiitadon.com permalink

    Attachments

    1. Domain not in remote thumbnail source whitelist: railsguides.jp
      Ruby on Rails ガイド:体系的に Rails を学ぼう
      from Ruby on Rails ガイド:体系的に Rails を学ぼう
      Railsガイドは、Ruby on Rails Guidesに基づいた大型リファレンスガイドです。Rails開発の生産性を高めたいときや、Railsの各機能を体系的に学びたいときに役立ちます。
    • いつも魚とトマトを買いに来る客 (momosetkn@qiitadon.com)'s status on Saturday, 03-Nov-2018 22:26:36 JST いつも魚とトマトを買いに来る客 いつも魚とトマトを買いに来る客
      in reply to

      RailsのCookieStoreセッションに対する再生攻撃、
      暗黒面が発動しなくても事故ってこういうシチュエーションは発生する可能性はある気がする。
      例えば、Cookie格納ディレクトリをRamDiskに設定してました。
      でも、ぱそんこが急に落ちてしまって、最新状態じゃないCookieがリストアされてしまいました、とか。

      In conversation Saturday, 03-Nov-2018 22:26:36 JST permalink

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

senooken JP Social is a social network, courtesy of senooken. It runs on GNU social, version 2.0.2-beta0, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All senooken JP Social content and data are available under the Creative Commons Attribution 3.0 license.