Rails:设计 gem 安全吗?

【问题标题】:Rails: Is the devise gem secure?Rails:设计 gem 安全吗?
【发布时间】:2012-05-12 18:48:13
【问题描述】:

我在 devise gem 上运行的网络应用程序上进行了身份验证。我想知道它是否安全。是的,它将密码作为哈希值存储在数据库中,登录后使用加密令牌等。但是在初始登录阶段呢?它是否通过无线方式发送未加密的用户密码(我没有 SSL)?它可以让客户端使用只有服务器才能解密的某个公钥对其进行加密吗?还是 SSL 是加密用户密码的唯一方法?

谢谢!

【问题讨论】:

  • 当使用浏览器作为客户端时,TLS 是防止中间人/主动攻击者的唯一方法。有一些技术可以防止被动攻击者,但我强烈推荐使用 TLS。

标签: ruby-on-rails encryption ssl devise passwords


【解决方案1】:

它是安全的,记住 rails 使用authentity_token。我还没有听说过问题。

【讨论】:

  • ah - 此身份验证令牌是否用于加密用户密码,例如在客户端本身?
  • 看看这个。 stackoverflow.com/questions/941594/…
  • 很好的解释。谢谢维祖。据我了解,authentication_token 用于保护用户免受 CSRF - 身份验证令牌存储在表单字段中,但是,它仍然没有说明发送到服务器的表单是纯文本还是由令牌本身加密。
  • 这也很有趣。 github.com/plataformatec/devise/wiki/…
  • 我认为这是不对的。 “请注意,HTTP 基本身份验证以明文形式传输用户名和密码,因此您不应将此方法用于需要更高级别安全性的应用程序。” - pivotallabs.com/users/ledwards/blog/articles/…
【解决方案2】:

“请注意,HTTP 基本身份验证以明文形式传输用户名和密码,因此您不应将此方法用于需要更高级别安全性的应用程序。”

http://pivotallabs.com/users/ledwards/blog/articles/1534-http-basic-authentication-and-devise

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode