0

许多 Rails 应用程序使用 CookieStore 方法来存储会话。此方法的安全性主要取决于 config/environment.rb 中默认定义的会话密钥的安全性:

config.action_controller.session = {
    :session_key => '_some_name_session',
    :secret      => 'long secret key'
}

包括我自己在内的大多数人都将此文件保存在我们的 SCM 存储库中。这是否意味着如果我在咖啡店(或任何开放的无线连接)做一些工作并提交我的源代码,有人可以嗅到这个秘密并可能开始为我的应用程序创建有效会话?人们不能嗅探我提交的文件吗?这似乎是一个相当不错的安全漏洞。

4

2 回答 2

4

如果您通过 https 或 SSH 以外的协议提交,那么是的,我相信是的。如果控制您的远程存储库服务器的人使用端口 80 而不是 443,我会坐下来与他们讨论。

于 2009-07-13T18:34:12.227 回答
0

不必要。如果您正在使用 Subversion,您可以选择使用 HTTPS 地址而不是 HTTP 地址,并且本地计算机和版本控制服务器之间的所有通信都是安全的。

如果 Git 和 Mercurial 没有提供相同的功能,我会感到非常惊讶。

于 2009-07-13T18:34:37.387 回答