我是一位经验丰富的Web开发人员(主要使用Python和CherryPy),他之前已经从头开始实施安全会话管理,现在正在学习Rails。我正在研究由session
实例和视图上下文中提供的ActionController
对象公开的Rails会话的行为。
我已经读过Rails 4中的会话的默认实现使用加密和防篡改的cookie。很酷,我想这意味着我可以使用它来保存用户会话的用户ID,而不必担心会话伪造(防篡改)或任何人能够找到他们的ID(加密)。我想对此进行测试,看看如果会话cookie被更改,rails会做什么。
因此,我使用浏览器插件改变了会话cookie属性的内容,当我使用新的cookie值重新加载页面时,Rails很高兴为session_id
和我提供了不同的新值_csrf_token
。
会话cookie完整性发生了什么变化!?
不应该检测到(通过HMAC签名)cookie已被更改,然后以某种方式告诉我它吗?
我很害怕我错过了一些显而易见的东西,但我一直没有在网上寻找答案,而且源代码也没有轻易放弃(我是新手红宝石)。提前谢谢。
我创建了一个新应用并使用index
操作生成了一个控制器:
$ rails new my_app
$ cd my_app; rails g controller home index
然后我将这两行添加到 app / views / layouts / application.html.erb 文件中:
<%= session.keys %><br/>
<%= session.values %>
我启动了dev服务器并将浏览器导航到“localhost:3000 / home / index”。正如预期的那样,页面底部有以下几行:
["session_id", "_csrf_token"]
["8c1558cabe6c86cfb37d6191f2e03bf8", "S8i8/++8t6v8W8RMeyvnNu3Pjvj+KkMo2UEcm1oVVZg="]
重新加载页面会给我相同的值,尽管应用程序每次都会设置_my_app_session
cookie属性的新值。这对我来说似乎很奇怪,但我得到了相同的会话哈希值,所以我觉得它很酷。
然后,我使用Chrome的Cookie编辑附加组件来更改_my_app_session
cookie属性的值(替换属性值的第一个字符)。重新加载页面会显示完全不同的值,而不会发生任何事情。 WAT?
答案 0 :(得分:14)
我不能要求对这里的代码有一个非常透彻的理解。但我可以告诉你这个:
我完全按照你的步骤(使用Ruby 2.0.0-p247&amp; Rails 4.0),但有一个例外 - 我还在我的Gemfile中添加了'byebug'gem并在HomeController#index
中插入了一个调试断点动作。
从byebug控制台,在那个断点处,我可以通过以下方式看到未经编辑的会话cookie:
(byebug) cookies["_my_app_session"]
"cmtWeEc3VG5hZ1BzUzRadW5ETTRSaytIQldiaTMyM0NtTU14c2RrcVVueWRQbncxTnJzVDk3OWU3N21PWWNzb1IrZDUxckdMNmZ0cGl3Mk0wUGUxU1ZWN3BmekFVQTFxNk55OTRwZStJSmtJZVkzVmlVaUI2c2c5cDRDWVVMZ0lJcENmWStESjhzRU81MHFhRTN4VlNWRlJKYTU3aFVLUDR5Y1lSVkplS0J1Wko3R2IxdkVYS3IxTHA2eC9kOW56LS1IbXlmelRlSWxiaG02Q3N2L0tUWHN3PT0=--b37c705a525ab2fb14feb5f2edf86d3ae1ab03c5"
我可以用
看到实际的加密值(byebug) cookies.encrypted["_my_app_session"]
{"session_id"=>"13a95fb545a1e3a2d4e9b4c22debc260", "_csrf_token"=>"FXb8pZgmoK0ui0qCW8W75t3sN2KLRpkiFBmLbHSfnhc="}
现在,我通过将第一个字母更改为“A”来编辑cookie并刷新页面:
(byebug) cookies["_my_app_session"]
"AmtWeEc3VG5hZ1BzUzRadW5ETTRSaytIQldiaTMyM0NtTU14c2RrcVVueWRQbncxTnJzVDk3OWU3N21PWWNzb1IrZDUxckdMNmZ0cGl3Mk0wUGUxU1ZWN3BmekFVQTFxNk55OTRwZStJSmtJZVkzVmlVaUI2c2c5cDRDWVVMZ0lJcENmWStESjhzRU81MHFhRTN4VlNWRlJKYTU3aFVLUDR5Y1lSVkplS0J1Wko3R2IxdkVYS3IxTHA2eC9kOW56LS1IbXlmelRlSWxiaG02Q3N2L0tUWHN3PT0=--b37c705a525ab2fb14feb5f2edf86d3ae1ab03c5"
(byebug) cookies.encrypted["_my_app_session"]
nil
因此,请求中的会话为nil
:
(byebug) session
#<ActionDispatch::Request::Session:0x7ff41ace4bc0 not yet loaded>
我可以用
强制加载会话(byebug) session.send(:load!)
当我这样做时,我发现结果会话ID是
"f6be13fd646962de676985ec9bb4a8d3"
当然,当我让请求完成时,这就是我在视图中看到的内容:
["session_id", "_csrf_token"] ["f6be13fd646962de676985ec9bb4a8d3", "qJ/aHzovZYpbrelGpRFec/cNlJyWjonXDoOMlDHbWzg="]
我现在还有一个新的cookie值,与我编辑的那个无关。
因此,我认为我们可以得出结论,正在发生的事情是,由于无法验证cookie签名,因此会话无效并重新生成。我现在有一个新的会话,使用不同的csrf_token。
相关代码显示在actionpack/lib/action_dispatch/middleware/cookies.rb:460-464
类的EncryptedCookieJar
:
def decrypt_and_verify(encrypted_message)
@encryptor.decrypt_and_verify(encrypted_message)
rescue ActiveSupport::MessageVerifier::InvalidSignature, ActiveSupport::MessageEncryptor::InvalidMessage
nil
end
我们只是将其视为nil
,而不是使用无效签名解密邮件。因此,存储会话ID和csrf令牌的无法验证的cookie不会用于加载会话,并且依赖于cookie中的值的任何内容都将失败。
那么为什么我们不会得到错误而不仅仅是新会话?那是因为我们没有尝试任何取决于加密值的东西。特别是,虽然我们有
protect_from_forgery with: :exception
在:null_session
中(与ApplicationController
相反),Rails不会在GET或HEAD请求上验证csrf令牌 - 它依赖于开发人员根据规范实现这些操作,以便他们是非破坏性的。如果您在POST请求中尝试了相同的操作,则会出现ActionController::InvalidAuthenticityToken
错误(因为您可以轻松验证自己)。