rubycas CAS 通过 ssl，站点通过非 SSL

Question

我正在尝试确定我所面临的安全风险有多大 当我让 ruby​​cas 本身通过 https 运行时，但我的实际网站 在http下运行。我面临这个问题的原因是 站点部署在 Heroku 上，这意味着 ssl 要么是真正的 昂贵或真的很痛苦。

除了登录详细信息之外，我还传递用户名册 （授权）到每个站点，然后存储在会话中。

任何意见都将受到高度赞赏。

Answer 1

这种方法的问题是 sessionid（url 或 cookie）和交换的数据都没有加密。因此，数据可以在从服务器到用户的途中以及从用户到服务器的途中被读取和操作。

即使是只能嗅探流量而无法操纵流量的被动攻击者，也可能造成损害：攻击者只需将 sessionid 复制到他或她自己的浏览器中即可。公共无线连接通常使用透明代理，因此攻击者和受害者都具有相同的公共 IP 地址，这使得应用程序很难区分他们。

有一个名为 Firesheep 的工具可以使这种攻击极其容易 。