0

如果我在我的 ruby​​ on rails 应用程序中使用 restful_authentication,密码会在浏览器和服务器之间以 paintext 传输吗?如果是这样,我应该对此有多担心?

4

4 回答 4

2

好吧,如果你不是通过 HTTPS 托管它,你需要担心......因为如果它是直接的 HTTP,那么是的,它是以明文形式传递的。

我不具体了解 Rails,但我很确定它与您是通过 HTTP 还是 HTTPS 托管它无关。

编辑:我发现这个链接显然提供了一个通过 HTTPS 的示例 Rails 应用程序。

进一步编辑:这是另一个讨论 HTTPS 与 Rails 的链接。

于 2008-09-10T06:26:31.920 回答
2

如果您担心密码的隐私(而且您应该如此),您还需要将此行添加到您的 ApplicationController:

filter_parameter_logging :password

否则,密码将以纯文本形式出现在您的日志文件中。

于 2008-10-24T02:27:54.370 回答
0

可以使用 CHAP 样式协议完成纯文本身份验证。这可能通过HTTP吗?

我在问,因为我认为它需要服务器上的一些状态来阻止重放攻击——服务器上的状态是 RESTful 架构可以消除的,对吧?

于 2008-09-10T06:27:46.737 回答
0

你绝对应该看看 bcrypt gem。它将为您散列所有密码。

于 2013-12-08T07:04:28.983 回答