rubycas CAS over ssl, сайты через non-ssl

Question

rubycas CAS over ssl, сайты через non-ssl

Я пытаюсь определить, какую угрозу безопасности я испытываю, когда у меня rubycas работает поверх https, а мои действующие сайты работают под http. причина, по которой я столкнулся с этой проблемой, заключается в том, что сайты развертываются на heroku, что означает, что ssl либо очень дорогой, либо очень трудный.

В дополнение к данным для входа в систему я также передаю списки пользователей (авторизацию) на каждый сайт, который затем сохраняется в сеансе.

Любой вклад с благодарностью.

1

ruby ssl https rubycas

Источник

user122166 12 мар '11 в 00:36

1 ответ

Другие вопросы по тегам ruby ssl https rubycas

user177701 21 май '11 в 18:49 2011-05-21 18:49 · Answer 1 · 2011-05-21 18:49

Проблема этого подхода заключается в том, что ни сессионный идентификатор (URL, ни cookie), ни обмениваемые данные не шифруются. Поэтому данные могут считываться и обрабатываться как на пути от сервера к пользователю, так и на пути от пользователя к серверу.

Даже пассивный злоумышленник, который может просто перехватить трафик, не имея возможности манипулировать им, может нанести ущерб: злоумышленник может просто скопировать sessionid в свой браузер. Общедоступные беспроводные соединения часто используют прозрачный прокси-сервер, поэтому и злоумышленник, и жертва имеют один и тот же общедоступный IP-адрес, что затрудняет различие между приложениями.

Существует инструмент под названием Firesheep, который делает этот вид атаки чрезвычайно легким.