ruby-on-rails - 在 Rails 中,什么会导致一个用户拥有另一个用户的 session ?

标签 ruby-on-rails security apache session passenger

我有一个 Rails 应用程序与一个使用 Restful 身份验证的身份验证系统一起使用,没有任何修改。

用户报告发现自己以错误的用户身份登录。至少在一个案例中,这是在他们第一次浏览页面时出现的,之前从未登录过。

他们的 session ID 是否可能混淆了?由于没有 session 数据以这种方式存储在服务器上,因此切换到 CookieStore 会不会导致这种情况发生? 我怀疑问题与 Passenger 有关,但我不知道从哪里开始调试它。它在几个月的直播中只发生了大约 4 次,因此几乎不可能重现。

环境: ActiveRecord session 存储 rails 2.2.2 乘客 2.0.1 Apache 2 ruby 1.8.6

非常感谢

最佳答案

如果您使用客户端 session 存储(较新 Rails 版本的默认设置),则可能是应用程序中的错误而不是被盗 session (或类似的东西)。确保您了解自己使用的 session 存储及其工作原理。

关于ruby-on-rails - 在 Rails 中,什么会导致一个用户拥有另一个用户的 session ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2476458/

上一篇:ruby-on-rails - 在 Rails 4 中通过隐藏标签传递参数是否安全?

下一篇:ruby-on-rails - Rails 3 ActiveRecord 链接

相关文章:

MySQL/Rails - Mysql2::Error(用户 'rails_user' @'localhost' 对数据库 'simple_cms_development' 的访问被拒绝):

MySQL 正则表达式 : How to match digits in the string with\d?

regex - REGEX_EXTRACT_ALL在APACHE PIG中未返回正确的结果

apache - rewritecond 不适用于现有文件

security - 如何以编程方式检测可用的ssh身份验证类型?

apache - 理解 apache RewriteLog

ruby-on-rails - 正确的 Rails 2.1 做事方式

ruby-on-rails - 使用 Rails 3 实现 SOAP 1.2 服务器

security - 将用户 ID 作为 url 参数安全吗?

java - 在Java中: How to handshake a secured connection using Keystore and Truststore certificate?

©2024 IT工具网  联系我们