Ruby On Rails ピチカート街道 - Rails 2.0・その11(セッションの情報は全てクライアントのクッキーに書かれる) -
Rails 2.0 がおっしゃいますに、結局セッションに入れる情報ってユーザーIDだけぐらいで短いから、セッションの情報は全部クッキーに入れちゃえばいいんじゃね?みたいに割り切っているようです。 例としては、コントローラ辺りに、session[:food] = 'nikkorogashi' と書いて、そこの処理を通りますと、session オブジェクトが文字列化(Marshal)されてBase64エンコードされてクッキーに保存されます。 要するにクッキーに保存しやすい文字列に変換されます。 決して暗号化されて保存されるわけではありません。 やる気なら誰でも自分のクッキーの情報を見て、session にどういう値が入っているのかを解析できるので、大切な情報(クレジットカード番号とかパスワードとかスリーサイズとか)は session には入れない方がいいです。 どうやってこのようにクッキーを解
cookie をつかったSession Fixation Attack対策
NasuaはRuby on Railsで作ったメモ帳WEBアプリです。って今ではすっかりRailsな話題を取り上げるだけとなってしまいました。。 Ruby On Rails ではログイン前もログインの後も同じセッションCookieを使用するためセッション固定攻撃に対する脆弱性があります。 以前の記事ではログインの後にセッションをリセットする方法で実装を行ってみましたが、試してみたところflashにセットした値が取得できないという不具合がありました。例えば、次のコードでは"logged out !"とい文字列がViewで表示されません。(たぶん使い方が悪いのでしょうが。。) def logout reset_session flash[:notice] = "logged out !" redirect_to(:action => "login_form") end そこで、自前でcooki
Cookieセッション、BASIC認証マジパネー - komagataのブログ
Rails検証報告書: プログラマの思索 Railsで特徴的なのは、CookieでHTTP セッションを管理できることだろう。 ここの仕組みが非常に分かりやすい。 Railsの後から付いた機能で一番素敵だと思うのがこの機能です。 「Cookieなんて仕様上は4KBしか保存出来ないんだから寧ろ弱体化してね?」 とか認識されることが多い気がしてならない。 コレ、導入時にも度肝を抜かれて、以降常に、 「ハンパねー、マジCookieセッションハンパねー!」 と脳内のアフロの人が言ってるんですが、大した利点に感じる人は少ないのか、他の言語やWAFで全面採用している例を見たことが無い。 そもそもセッションという言葉自体が複数の処理をまとめた単位という広義の意味とWebアプリケーションで複数リクエストにまたがってサーバー側に保存されるデータという狭義の意味が混在して使われているという事情があってWeb上
Rails 2.0の新しいセッション管理-CookieStore - iビジネス&テクノロジー
(注)この記事の動作確認環境はRC1です。 以前、Railsはデフォルトでtmp/sessionsにセッションファイルを作り続けるため、sessionsフォルダ内のメンテナンスが必要であるという記事を書きました(こちら)。Rails2.0ではデフォルトでCookieStoreという新しいセッション管理機構を用いるため、上記処理の必要がなくなります。 CookieStoreの特徴 クッキーで情報を持つため余分なIOがなくなり高速 セッションファイルの管理が不要 セッションデータが4kを越える場合はCookieOverflowエラー*1 デフォルト設定 environment.rbを確認すると、以下のような記述が追加されています。 config.action_controller.session = { :session_key => '_application_session', :secr
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ | 無料ブログを作成しよう
