ITmediaの記事が微妙だったので調べて見たのん。(面倒なので箇条書き) 元ネタ Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態 (ITmedia) Ruby on Rails CookieStore Vulnerability Plagues Prominent Websites (原文) 何が問題とされているか (記事の主張) デフォルトでは、cookieにセッションのハッシュ (データ) を保持している。(CookieStore) Rails 2-3の場合は秘密鍵で署名されている = 書き換え不可 Rails 4の場合は暗号化されている = 書き換え・内容の読み取り不可 Cookieを読み取られる可能性がある。 XSS セッションサイドジャッキング: うっかりSSLではない通信をさせると、Rails3以前では機密情報が漏洩する可能性がある。(Ki
![一部報道による「Ruby on Railsにcookie保存関連の脆弱性」について - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/a4471c852ec4c1a5881492fcf02d1461b71ffc9a/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9JUU0JUI4JTgwJUU5JTgzJUE4JUU1JUEwJUIxJUU5JTgxJTkzJUUzJTgxJUFCJUUzJTgyJTg4JUUzJTgyJThCJUUzJTgwJThDUnVieSUyMG9uJTIwUmFpbHMlRTMlODElQUJjb29raWUlRTQlQkYlOUQlRTUlQUQlOTglRTklOTYlQTIlRTklODAlQTMlRTMlODElQUUlRTglODQlODYlRTUlQkMlQjElRTYlODAlQTclRTMlODAlOEQlRTMlODElQUIlRTMlODElQTQlRTMlODElODQlRTMlODElQTYmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtY2xpcD1lbGxpcHNpcyZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTliY2E2MTBjZTVlYzllN2NmOWUyNjJhNjg4OTRmODcy%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQweWFzdSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9OTMwM2ZlYmRhN2M0ZWFiOWYwMTc2NjBkZjM2MzlkMmM%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dae007131516fe0612b66cde3fa3b79c9)