Rieles: ¿Es segura la gema del dispositivo?

Tengo mi autenticación en mi aplicación web ejecutándose en el ingenio gema. Me preguntaba si era seguro. Sí, almacena las contraseñas como hashes en la base de datos, usa tokens encriptados después de iniciar sesión, etc. Pero, ¿qué tal en la fase de inicio de sesión inicial? ¿Envía la contraseña del usuario sin cifrar por el aire (no tengo SSL)? ¿Podría hacer que el cliente lo cifre con una determinada clave pública que solo el servidor podría descifrar? ¿O SSL es la única forma de encriptar la contraseña del usuario?Rieles: ¿Es segura la gema del dispositivo?

Gracias!

Fuente

2012-05-03 Karan

Al utilizar navegadores como cliente, TLS es la única manera de protegerse contra atacantes MitM/activos. Hay algunas técnicas para protegerse contra los atacantes pasivos, pero recomiendo encarecidamente TLS. – CodesInChaos

"Tenga en cuenta que HTTP Basic Authentication transmite el nombre de usuario y la contraseña en texto claro, por lo que no debe usar este método para aplicaciones en las que se requiera un mayor nivel de seguridad".

http://pivotallabs.com/users/ledwards/blog/articles/1534-http-basic-authentication-and-devise

Fuente

2012-05-27 00:41:12 Karan

Es seguro, recuerda que Rails usa authenticity_token. No he oído hablar de problemas todavía.

Fuente

2012-05-03 10:34:19 Benjamin

ah - ¿este token de autenticación se usa para encriptar la contraseña del usuario, por ejemplo, en el cliente mismo? – Karan

Mira esto. http://stackoverflow.com/questions/941594/understand-rails-authenticity-token – Benjamin

Gran explicación. Gracias Vezu. Según lo que entiendo, el authentication_token se usa para proteger a los usuarios de CSRF: el token de autenticación se almacena en el campo de formularios, sin embargo, aún no dice si el formulario enviado al servidor es de texto plano o si está encriptado por el token. – Karan

Rieles: ¿Es segura la gema del dispositivo?

Respuesta

Cuestiones relacionadas