रेल

Question

के साथ एक एन्क्रिप्टेड कुकी संग्रहीत करना मुझे रेल में एक कुकी में डेटा का एक छोटा टुकड़ा (10 अक्षर से कम) स्टोर करने की आवश्यकता है और मुझे इसे सुरक्षित होने की आवश्यकता है। मैं नहीं चाहता कि कोई भी डेटा के उस टुकड़े को पढ़ने या डेटा के अपने हिस्से को इंजेक्ट करने में सक्षम हो (क्योंकि यह कई प्रकार के हमलों के लिए ऐप खोल देगा)। मुझे लगता है कि कुकी की सामग्री को एन्क्रिप्ट करना रास्ता है (क्या मुझे यह भी साइन करना चाहिए?)। यह करने के लिए सबसे अच्छा तरीका क्या है?

अभी मैं यह कर रहा हूं, जो सुरक्षित दिखता है, लेकिन कई चीजें उन लोगों के लिए सुरक्षित दिखती हैं जो सुरक्षा के बारे में मुझसे ज्यादा जानते थे और फिर यह पता चला कि यह वास्तव में सुरक्षित नहीं था।

मैं इस तरह से गुप्त बचत कर रहा हूँ:

encryptor = ActiveSupport::MessageEncryptor.new(Example::Application.config.secret_token) 
cookies[:secret] = { 
    :value => encryptor.encrypt(secret), 
    :domain => "example.com", 
    :secure => !(Rails.env.test? || Rails.env.development?) 
} 

और फिर मैं इसे इस तरह पढ़ रहा हूँ:

encryptor = ActiveSupport::MessageEncryptor.new(Example::Application.config.secret_token) 
secret = encryptor.decrypt(cookies[:secret]) 

कि सुरक्षित है? ऐसा करने के किसी भी बेहतर तरीके?

अद्यतन: मैं और रेल 'सत्र के बारे में पता है कि यह कैसे सुरक्षित है दोनों कुकी पर हस्ताक्षर करके और वैकल्पिक रूप से सत्र सर्वर साइड की सामग्री भंडारण और मैं क्या इसके लिए है के लिए सत्र का उपयोग करते हैं द्वारा। लेकिन मेरा प्रश्न यहां कुकी को संग्रहित करने के बारे में है, जो सूचना में मुझे पसंद नहीं है, लेकिन मुझे अभी भी सुरक्षित होने की आवश्यकता है।

Answer 1

मैं JacobM के उत्तर को दोबारा पोस्ट कर रहा हूं, कि उसने हटा दिया, क्योंकि यह सही जवाब था और मुझे सही दिशा में इंगित किया। अगर वह इसे हटा देता है, तो मैं इसे हटा दूंगा और उसे सर्वश्रेष्ठ जवाब के रूप में चुनूंगा।

सबसे पहले, यदि आप encrypt_and_verifyencrypt के बजाय का उपयोग यह कुकी आप के लिए हस्ताक्षर करेंगे।

हालांकि, जब सुरक्षा की बात आती है, तो मैं हमेशा समाधानों पर भरोसा करना पसंद करता हूं जो सार्वजनिक रूप से स्वयं को घुमाने के बजाय सार्वजनिक रूप से पेश किए जाते हैं। एक उदाहरण encrypted-cookies gem होगा।

Answer 2

• एक सुरक्षित कुकी

  cookies.signed[:secret] = { 
  :value => "foo bar", 
  :domain => "example.com", 
  :secure => !(Rails.env.test? || Rails.env.development?) 
  } 
  

• कुकी

  cookies.signed[:secret] # returns "foo bar" 
  

कुकी ActionController::Base.cookie_verifier_secret का उपयोग करके हस्ताक्षरित है पहुँचना स्थापना। आप प्रारंभकर्ता फ़ाइल में cookie_verifier_secret सेट कर सकते हैं।

Answer 3

कंदडाबोगू कहते हैं, ऐसा लगता है कि आप एक सत्र चर क्या चाहते हैं, और सत्र चर डिफ़ॉल्ट रूप से एन्क्रिप्टेड और कुकीज़ में संग्रहीत हैं। हालांकि, अगर आप config/initializers/session_store.rb की सामग्री पर एक नजर है आप की तरह कुछ मिल जाएगा निम्नलिखित:

# Be sure to restart your server when you modify this file. 
MyRailsApp::Application.config.session_store :cookie_store, :key => '_my_rails_app_session' 

# Use the database for sessions instead of the cookie-based default, 
# which shouldn't be used to store highly confidential information 
# (create the session table with "rails generate session_migration") 
# MyRailsApp::Application.config.session_store :active_record_store 

कौन सा मेरे लिए पता चलता है कि आप कुकी-आधारित डिफ़ॉल्ट के बजाय सत्र, जो नहीं करना चाहिए के लिए डेटाबेस का उपयोग करना चाहिए ' अत्यधिक गोपनीय जानकारी स्टोर करने के लिए इस्तेमाल नहीं किया जाएगा। प्री-पकाया माइग्रेशन सब कुछ वास्तव में स्थापित करना आसान बनाता है, इसलिए ऐसा करने में बहुत कम ओवरहेड होता है, और एक बार ऐसा करने के बाद मूल रूप से शून्य ओवरहेड होता है यदि आपको बाद की तारीख में गुप्त जानकारी का एक नया टुकड़ा जोड़ना पड़ता है!