7

gem 文件中 Rails 的默认 gems 源是:

source 'https://rubygems.org'

将其更改为

source 'http://rubygems.org'

使捆绑安装速度更快,因此我试图了解将 https 设为默认值的决定背后的原因。有什么我需要注意的吗?

4

3 回答 3

4

在这里形成:

切换到 HTTP 是危险的。它使您容易受到 MITM 攻击。切换到 HTTP 允许敌对方将 gem 内容替换为恶意内容。不建议切换到 HTTP。

于 2013-10-24T08:11:12.797 回答
2

使用 HTTP 会使您的应用程序和服务器容易受到攻击。假设有人冒充 ruby​​gems.org 并将互联网上的某个节点重定向到他们的服务器,他们现在可以使用任意代码向您分发假宝石。HTTPS 通过提供某种形式的域验证和传输层安全性来降低此类攻击的风险。

于 2013-10-24T08:02:51.117 回答
1

它更安全。正如其他人所说,您安装 Gems 的地方可能是 MITM 攻击。我相信的巨大推动力来自于:

http://venturebeat.com/2013/01/30/rubygems-org-hacked-interrupting-heroku-services-and-putting-millions-of-sites-using-rails-at-risk/

于 2014-12-02T17:51:41.270 回答