ytakagi
unread,Feb 3, 2013, 11:46:20 AM2/3/13Sign in to reply to author
Sign in to forward
You do not have permission to delete messages in this group
Either email addresses are anonymous for this group or you need the view member email addresses permission to view the original message
to jruby-u...@googlegroups.com
jruby on rails 3.1を使用して、いろいろテストしています。
諸般の事情で、いまのとこ rails のバージョンは上げたくありません。
rails 起動時に、rack の警告が出ます。
SECURITY WARNING: No secret option provided to Rack::Session::Cookie.
This poses a security threat. It is strongly recommended that you
provide a secret to prevent exploits that may be possible from crafted
cookies. This will not be supported in future versions of Rack, and
future versions will even invalidate your existing user cookies.
これは、config/initializers/session_store.rb
の中にあるセッションストレージの設定、例えば、
Bbs::Application.config.session_store :cookie_store, key: '_bbs_session'
とあるとして、(プロジェクト名が bbs …掲示板ということですが)
それを
Bbs::Application.config.session_store :cookie_store, key:
'_bbs_session', secret: '1234'
などとして、
行の末尾に secret: string
を追加すると、出ないということはいろいろ試して分かったのですが、
しかし、rails には
config/initializers/secret_token.rb
に秘密カギが設定されているのでは?
secret_token.rbを試しに開くと、
Bbs::Application.config.secret_token = '413652 以下、略。数十桁の英数字
となっていますが。
これがデフォルトでもともと使われているんじゃないんでしょうか?
警告は無視していいものか、
secret option を新たに設定すべきか、それとも、
rails の最新バージョンならすでに解決済み問題なのか。
このあたり、お分かりの方、いますでしょうか?
-- ytakagi