Rails 4加密Cookie重放攻击

Question

我最近升级到Rails 4，并切换到加密的cookie作为会话存储。不幸的是，这似乎意味着重放攻击是可能的，也就是说，如果用户注销，任何cookie都不会失效，并且可以用于在没有用户/pass的情况下进行身份验证。据我所知，这是加密cookie工作方式中的一个缺陷(如果我错了，请告诉我！)，所以我的问题是:是否有一个可以接受的解决方案来防止使用加密cookie的重放攻击？

Answer 1

经过一些研究和一些修补，我提出了以下解决方案。

• 当用户登录时，创建一个随机秘密(随机的意思是后续的秘密应该有一个低的匹配概率)。
• 将该秘密存储在会话中，即在cookie中，以及服务器端，我正在使用Dalli提供memcached功能
• 在请求需要身份验证的页面时，从cookie中读取秘密，并确保它在服务器端存在。
• 在注销时，从缓存中删除秘密，因此使用相同cookie的任何后续请求都将失效。

只要cookie不能被篡改，这就应该是安全的。欢迎任何想法/意见。