23
私はRailsで使われているsecret_tokenとはかなり混同されています。誰がそれが使用されているか説明することはできますか?このトークンをパブリックソースリポジトリに置いて、本番環境で使用することはできますか、またはいくつかの種類の攻撃を防ぐために私のアプリケーションをデプロイする前にそれを変更する必要がありますか?Railsの秘密のトークン
A
答えて
31
自分の質問に答えます - secret_tokenは、RailsでのCookie改ざんを防ぐために使用されます。すべてのCookieにはチェックサムが保存されているため、ユーザーはCookieの内容を変更しません(たとえば、保存されたユーザーIDを変更して他のユーザーのアカウントを盗むなど)。チェックサムはCookieの内容とsecret_tokenに基づいているので、Cookieベースのセッションを使用している場合、secret_tokenが本当に秘密であることを常に確認する必要があります。
関連する問題
- 1. REST API&oAuth - トークンと秘密の呼び出し方法
- 2. Hashicorpボールト - 秘密
- 3. Cの秘密の意味
- 4. Oauthの消費者トークンと秘密はユーザー固有のものですか?
- 5. keygenタグの秘密鍵
- 6. Androidの秘密鍵ストレージ
- 7. OpenSSH秘密鍵の形式
- 8. 秘密../リアルディレクトリにPHP
- 9. ピラミッドAuthTktAuthenticationPolicy秘密パラメータ
- 10. pkcs#11トークンまたはスマートカードからの証明書と秘密鍵へのアクセス
- 11. は秘密のトークンがありません、それが環境変数
- 12. Gitはデフォルトでユーザーの秘密トークンをどこに保存しますか?
- 13. LinkedInは、私はトークンと秘密のアクセスを取得した後、接続
- 14. 秘密鍵を秘密にしておく - Androidアプリ内に任意のアイデア
- 15. RSA - はBouncyCastle PEMReader秘密鍵
- 16. Flash SecureSocketとRSA秘密鍵
- 17. JSCH - 無効な秘密鍵
- 18. 秘密鍵でSHA512ハッシング
- 19. ゴラン - マーシャルPKCS8秘密鍵?
- 20. 別のタイムゾーンのNSDateへの秘密NSString
- 21. フレックス暗号化の秘密の値
- 22. パスフレーズなしのgpg秘密鍵のエクスポート
- 23. 秘密のmysqlからpostgresqlのクエリ
- 24. "秘密の" Facebookグループのアクセストークンを取得
- 25. アンドロイドコードバの秘密鍵の保存方法
- 26. OpenSSLのECDSA:秘密鍵のパスフレーズ
- 27. アプリケーションの署名用の秘密鍵
- 28. Twitter:キーと秘密のホームタイムラインへのアクセス
- 29. JavaのRSA秘密鍵で暗号化
- 30. 共有秘密鍵の長さ