rubyscas CAS over ssl,site over non-ssl
我正在尝试确定当我将rubycas本身运行在https上时,我正在查看多少安全风险,但我的实际站点在http下运行。 我面临这个问题的原因是网站部署在heroku上,这意味着ssl要么真的很贵,要么真的很痛苦。
除了登录详细信息,我还将用户卷(授权)传递给每个站点,然后存储在会话中。
非常感谢任何输入。
这种方法的问题是sessionid(url或cookie)和交换的数据都没有加密。 因此,可以在从服务器到用户的路上以及从用户到服务器的途中读取和操纵数据。
即使是被动攻击者只能在不能操纵流量的情况下嗅探流量,也会造成破坏:攻击者可以将sessionid复制到他或她自己的浏览器中。 公共无线连接通常使用透明代理,因此攻击者和受害者都具有相同的公共IP地址,这使得应用程序难以区分它们。
有一个名为Firesheep的工具可以使这种攻击变得非常容易 。