mhe*_*ess 13 ruby cookies session ruby-on-rails ruby-on-rails-4
我是一位经验丰富的Web开发人员(主要使用Python和CherryPy)之前从头开始实施安全会话管理,现在正在学习Rails.我正在调查Rails会话的行为,这些行为是由实例和视图上下文中session可用的对象公开的ActionController.
我已经读过Rails 4中的会话的默认实现使用加密和防篡改的cookie.很酷,我想这意味着我可以使用它来保存用户会话的用户ID,而不必担心会话伪造(防篡改)或任何人能够找出他们的ID(加密).我想对此进行测试,看看如果会话cookie被更改,rails会做什么.
于是,我去了,使用浏览器插件改变会话cookie属性的内容,当我重新加载页面与新的cookie值,Rails的只是开心地给了我不同的新值session_id和_csrf_token.
会话cookie完整性发生了什么变化!?
铁路不应该检测(通过HMAC签名)cookie被改变,然后以某种方式告诉我它吗?
我很害怕我错过了一些非常明显的东西,但我一直没有在网上寻找答案,而且源代码也没有轻易放弃(我是ruby的新手).提前致谢.
我创建了一个新应用并生成了一个带有index动作的控制器:
$ rails new my_app
$ cd my_app; rails g controller home index
然后我将这两行添加到app/views/layouts/application.html.erb文件中:
<%= session.keys %><br/>
<%= session.values %>
我启动了开发服务器,并将浏览器导航到"localhost:3000/home/index".正如预期的那样,页面底部有以下几行:
["session_id", "_csrf_token"]
["8c1558cabe6c86cfb37d6191f2e03bf8", "S8i8/++8t6v8W8RMeyvnNu3Pjvj+KkMo2UEcm1oVVZg="]
重新加载页面会给我相同的值,尽管应用程序_my_app_session每次都会设置cookie属性的新值.这对我来说似乎很奇怪,但我得到了相同的会话哈希值,所以我觉得它很酷.
然后,我使用Chrome的Cookie编辑附加组件来更改_my_app_sessioncookie属性的值(替换属性值的第一个字符).重新加载页面会显示完全不同的值,而不会发生任何事情.WAT?
gre*_*tes 14
我不能要求对这里的代码有一个非常透彻的理解.但我可以告诉你这么多:
我完全按照你的步骤(使用Ruby 2.0.0-p247和Rails 4.0),但有一个例外 - 我还在我的Gemfile中添加了'byebug'gem并在HomeController#index操作中插入了一个调试断点.
从byebug控制台,在那个断点处,我可以通过以下方式看到未经编辑的会话cookie:
(byebug) cookies["_my_app_session"]
"cmtWeEc3VG5hZ1BzUzRadW5ETTRSaytIQldiaTMyM0NtTU14c2RrcVVueWRQbncxTnJzVDk3OWU3N21PWWNzb1IrZDUxckdMNmZ0cGl3Mk0wUGUxU1ZWN3BmekFVQTFxNk55OTRwZStJSmtJZVkzVmlVaUI2c2c5cDRDWVVMZ0lJcENmWStESjhzRU81MHFhRTN4VlNWRlJKYTU3aFVLUDR5Y1lSVkplS0J1Wko3R2IxdkVYS3IxTHA2eC9kOW56LS1IbXlmelRlSWxiaG02Q3N2L0tUWHN3PT0=--b37c705a525ab2fb14feb5f2edf86d3ae1ab03c5"
我可以看到实际的加密值
(byebug) cookies.encrypted["_my_app_session"]
{"session_id"=>"13a95fb545a1e3a2d4e9b4c22debc260", "_csrf_token"=>"FXb8pZgmoK0ui0qCW8W75t3sN2KLRpkiFBmLbHSfnhc="}
现在,我通过将第一个字母更改为"A"来编辑cookie并刷新页面:
(byebug) cookies["_my_app_session"]
"AmtWeEc3VG5hZ1BzUzRadW5ETTRSaytIQldiaTMyM0NtTU14c2RrcVVueWRQbncxTnJzVDk3OWU3N21PWWNzb1IrZDUxckdMNmZ0cGl3Mk0wUGUxU1ZWN3BmekFVQTFxNk55OTRwZStJSmtJZVkzVmlVaUI2c2c5cDRDWVVMZ0lJcENmWStESjhzRU81MHFhRTN4VlNWRlJKYTU3aFVLUDR5Y1lSVkplS0J1Wko3R2IxdkVYS3IxTHA2eC9kOW56LS1IbXlmelRlSWxiaG02Q3N2L0tUWHN3PT0=--b37c705a525ab2fb14feb5f2edf86d3ae1ab03c5"
(byebug) cookies.encrypted["_my_app_session"]
nil
所以会话就nil在请求中的这一点:
(byebug) session
#<ActionDispatch::Request::Session:0x7ff41ace4bc0 not yet loaded>
我可以强制加载会话
(byebug) session.send(:load!)
当我这样做时,我看到结果会话ID是
"f6be13fd646962de676985ec9bb4a8d3"
当然,当我让请求完成时,我在视图中看到的是:
["session_id", "_csrf_token"] ["f6be13fd646962de676985ec9bb4a8d3", "qJ/aHzovZYpbrelGpRFec/cNlJyWjonXDoOMlDHbWzg="]
我现在也有一个新的cookie值,与我编辑的那个无关.
因此,我认为我们可以得出结论,正在发生的事情是,由于无法验证cookie签名,因此会话无效并重新生成.我现在有一个新的会话,使用不同的csrf_token.
相关的代码出现actionpack/lib/action_dispatch/middleware/cookies.rb:460-464,在EncryptedCookieJar类:
def decrypt_and_verify(encrypted_message)
@encryptor.decrypt_and_verify(encrypted_message)
rescue ActiveSupport::MessageVerifier::InvalidSignature, ActiveSupport::MessageEncryptor::InvalidMessage
nil
end
我们只是将其视为具有无效签名的消息,而不是解密消息nil.因此,存储会话ID和csrf令牌的无法验证的cookie不会用于加载会话,并且依赖于cookie中的值的任何内容都将失败.
那么为什么我们不会得到错误而不仅仅是新会话?那是因为我们没有尝试任何取决于加密值的东西.特别是,虽然我们有
protect_from_forgery with: :exception
(相反:null_session)ApplicationController,Rails不会在GET或HEAD请求上验证csrf令牌 - 它依赖于开发人员根据规范实现这些操作,因此它们是非破坏性的.如果您在POST请求中尝试了相同的操作,则会出现ActionController::InvalidAuthenticityToken错误(因为您可以轻松地自行验证).
| 归档时间: |
|
| 查看次数: |
2854 次 |
| 最近记录: |