标签: ruby-on-rails security cookies sinatra
使用的策略有多安全,其中cookie由base64编码的数组内容组成,后跟(我相信)该内容的SHA1哈希值只有服务器知道的长session_secret?据我所知,哈希是一个签名,以防止客户端篡改cookie内容。这个系统安全吗?特别是,攻击者是否可以在不访问session_secret的情况下弄清楚如何伪造签名?还有其他漏洞吗?
答案 0 :(得分:0)
SHA1已知漏洞,因此,如果这是它的用途,我不会推荐它。从理论上讲,这可以用来伪造签名。