一部報道による「Ruby on Railsにcookie保存関連の脆弱性」について - QiitaITmediaの記事が微妙だったので調べて見たのん。(面倒なので箇条書き) 元ネタ Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態 (ITmedia) Ruby on Rails CookieStore Vulnerability Plagues Prominent Websites (原文) 何が問題とされているか (記事の主張) デフォルトでは、cookieにセッションのハッシュ (データ) を保持している。(CookieStore) Rails 2-3の場合は秘密鍵で署名されている = 書き換え不可 Rails 4の場合は暗号化されている = 書き換え・内容の読み取り不可 Cookieを読み取られる可能性がある。 XSS セッションサイドジャッキング: うっかりSSLではない通信をさせると、Rails3以前では機密情報が漏洩する可能性がある。(Ki
