27 Apr '15, 12pm

ブログ書きました!セキュリティについて基礎勉強中です!! セッションに関するセキュリティリスクについて勉強してみた! - 酒と泪とRubyとRailsと

# Cookieでの保存(CookieStore、デフォルト) セッションの中身を_application_sessionというCookieに保存する。Rails4以降は暗号化している。 クライアント側で操作できてしまうので、過去の状態に戻す等の不正が考えられる。 # DBへの保存 ActiveRecordSessionStoreなどのGemを使うとDBにセッションの中身を保存できる。 サーバ側に保存することでCookieStoreの問題を解消できるがDBへの負荷が上がってしまう。 # メモリへの保存 DalliなどのGemを使うとMemcachedやRedisなどにセッションを保存できる。 DBよりも高速に処理できるが、複数サーバの環境では一箇所のMemcachedやRedisを共有する必要がある。

Full article: http://morizyun.github.io/blog/session-web-service/

Tweets