Raild_Tutorial_09
9.1
より安全性の高いユーザ情報の保持を実装する。
cookiesを永続化するとセッションハイジャックという攻撃を受ける可能性があります。この攻撃は、記憶トークンを奪って、特定のユーザーになりすましてログインするというものです。
セキュリティ、空気のような存在のため意識されないが、webに関わる上で避けては通れませんね。
今回のマイグレーション名も
_to_users
で終わっています。これは、マイグレーションの対象がデータベースのusers
テーブルであることをRailsに指示するためのものです。
マイグレーション名って意味あるのか...
attr_accessor :remember_token
↑わかってない
9章、Railsの仕様理解が甘いとつまずくポイントな気がしている。
無論、私も躓いている。
署名付きcookies
Dが生のテキストとしてcookiesに保存されてしまうので、アプリケーションのcookiesの形式が見え見えになってしまい、攻撃者がユーザーアカウントを奪い取ることを助けてしまう可能性があります。これを避けるために、署名付きcookieを使います。
この辺り、ほぼ理解できない。
正確には、理解するための材料を知識として持ち合わせていない。
そういう感覚がある。