我正在尝试确定我正在考虑多少安全风险 当我有rubycas本身运行https,但我的实际网站 在http下运行。我面对这个问题的原因是 站点部署在heroku上,这意味着ssl要么真的 昂贵或真的很痛苦。
除了登录详细信息,我还会传递用户名片 (授权)到每个站点然后存储在会话中。
非常感谢任何输入。
答案 0 :(得分:3)
这种方法的问题在于sessionid(url或cookie)和交换的数据都没有加密。因此,从服务器到用户以及从用户到服务器的路上,数据都可以被读取和操作。
即使是被动攻击者,只能嗅探流量而又无法操纵它,可能会造成损害:攻击者可以将sessionid复制到自己的浏览器中。公共无线连接通常使用透明代理,因此攻击者和受害者都具有相同的公共IP地址,这使得应用程序难以区分它们。
有一个名为Firesheep的工具可以使这种攻击非常容易。