Ruby on Rails Cookies und Sicherheit

Ruby on Rails

Die Standard-Cookie-Einstellungen von Rails sind aus der Security-Perspektive nicht ideal und sollten bei sensitiven Systemen etwas angepasst werden. Dies geschieht in der config/initializers/session_store.rb

MyApp::Application.config.session_store :active_record_store,
        :secure => Rails.env == 'production',
        :http_only => true,
        :expire_after => 60.minutes

Zeile 1: Session infos in der DB speichern (nicht im cookie). Hierbei nicht vergessen, die notwendige Tabelle zu erstellen:

 # rake db:sessions:create

Zeile 2: Secure flag setzen wenn die Produktion mit https läuft
Zeile 3: JavaScript Access auf Cookies verbieten
Zeile 4: Expiration Time setzen

Autor: Simon

IT Security Spezialist, in Zürich aufgewachsen, zweifacher Vater und speziell interessiert am interaktiven Web, Audio Engineering und Kino. Erfahre mehr über mich und folge mir auf Twitter: @-simwep

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *