web-dev-qa-db-ja.com

Railsユーザーアクセス/許可プラグインのセキュリティ

Railsの最も安全なユーザーアクセスプラグインが何であるかを誰かが知っているかどうか、そしてそれらのいずれかがセッション固定を妨げるかどうか疑問に思っていましたか?

5
Magnus

Ruby on Railsセキュリティガイド から)認証プロセス中にreset_sessionコマンドを使用している限り、セッション固定攻撃を軽減する必要があります。 a Rails app。ユーザーがログインしたときにのみセッションを作成し、その時点で新しいセッションIDを発行する場合は、セッション固定に関する問題はそれほど多くないはずです。 。

2
Rory McCune