Простые текстовые пароли в Ruby on Rails с использованием Restful_Authentication
Если я использую restful_authentication в моем приложении ruby on rails, пароли передаются между браузером и сервером в paintext? И если да, то как я должен об этом беспокоиться?
Ответы 4
Что ж, вам нужно беспокоиться, если вы не размещаете его через HTTPS ... потому что, если это прямой HTTP, то да, он передается в виде открытого текста.
Я не знаю конкретно Rails, но уверен, что это не имеет никакого отношения к тому, размещаете ли вы его через HTTP или HTTPS.
Обновлено: я нашел эта ссылка, который, по-видимому, предоставляет пример приложения Rails через HTTPS.
Дальнейшее редактирование: здесь другая ссылка обсуждает HTTPS с Rails.
Аутентификацию с помощью обычного текста можно выполнить с помощью протоколов стиля CHAP. Возможно ли это через HTTP?
Я спрашиваю, потому что думаю, что для предотвращения повторных атак потребуется какое-то состояние на сервере - состояние на сервере - это то, что нужно устранить с помощью архитектур RESTful, верно?
Если вас беспокоит конфиденциальность паролей (и вам следует будет), вы также захотите добавить эту строку в свой ApplicationController:
filter_parameter_logging :password
В противном случае пароли будут отображаться в виде обычного текста в ваших файлах журнала.
Вам обязательно стоит взглянуть на гем bcrypt. Он будет хешировать все пароли за вас.