Właśnie, nie zgłębiałem za bardzo tematu, ale z tego co widze to sesje w Rails nie są zbyt dobrze zabezpieczone, czy nie jest tak, że tylko podmieniając id sesji w swoim ciachu dostajemy dostęp do niej ?
Nie zauważyłem żeby było jakieś dodatkowe zabezpieczenie w stylu sprawdzania czy ip klienta próbującego pobrać dane z sesji jest identyczne z ip,które powstało po jej utworzeniu ani nic z tych rzeczy.
Jak wy radzicie sobie z zabezpieczaniem sesji ? Ja myślałem właśnie o każdorazowym sprawdzaniu zgodności ip.
Ja wpycham do sesji IP i sprawdzam czy IP laczacego sie jest takiego samo jak IP zapisane w sesji.
Zdaje sobie sprawe ze w przypadkow NATow to nie zadziala, ale takie zabezpieczenie mi wystarczy. Jak chcesz zeby bylo jeszcze bezpieczniej, wystaw serwis po SSL. Wtedy loklani userzy za natem nie beda mogli zesniffowac sesji.