我试图确定当我的 rubycas 本身通过 https 运行时,我正在查看多少安全风险,但我的实际站点在 http 下运行。我遇到这个问题的原因是这些站点部署在 heroku 上,这意味着 ssl 要么真的很贵,要么真的很痛苦。
除了登录详细信息,我还将用户卷(授权)传递给每个站点,然后存储在会话中。
非常感谢任何输入。
这种方法的问题在于 sessionid(url 或 cookie)和交换的数据都没有加密。因此,可以在从服务器到用户的过程中以及从用户到服务器的过程中读取和操作数据。
即使是只能嗅探流量而无法对其进行操作的被动攻击者,也会造成损害:攻击者只需将 sessionid 复制到他或她自己的浏览器中即可。公共无线连接通常使用透明代理,因此攻击者和受害者都拥有相同的公共 IP 地址,这使得应用程序难以区分它们。
有一个叫做Firesheep的工具可以让这种攻击变得非常容易。