Rails: Hardening Authlogic

Authlogic verwendet ein eigenes Cookie zur Identifizierung der User Session. Da wir diese Info aber sowieso schon in der Session haben, ist es unnötig. Ausserdem wollen wir, dass der Token neu generiert wird, ansonsten funktioniert nämlich der CSRF Schutz nicht mehr.

Folgende Änderung im UserSession Model schafft Abhilfe:

class UserSession < Authlogic::Session::Base

  # kein eigenes cookie anlegen
  skip_callback :after_save, :save_cookie

  # persistence token nach logout neu generieren
  before_destroy do
    record.reset_persistence_token
  end

end

Autor: Simon

IT Security Spezialist, in Zürich aufgewachsen, zweifacher Vater und speziell interessiert am interaktiven Web, Audio Engineering und Kino. Erfahre mehr über mich und folge mir auf Twitter: @-simwep

2 Gedanken zu „Rails: Hardening Authlogic“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.