Rails2.0ではsession fixation攻撃対策もある(たぶん一部)
今日、対向のサーバをRails2.0をRelease Candidate 2でiアプリを作っていたらSession Fixation関連のエラーが発生。そこで気がついたけど、Rails 2.0では一部のsession fixationに対しても対策が講じられているようですね。やーどんどん便利になっていくRails。
cookie以外でsession変数を渡そうとすると以下のエラーを発生させてRailsが止まります。
ActionController::CgiRequest::SessionFixationAttempt
ただし、携帯などcookieを使えない端末では問題が発生する場合があります。jpmobileのメーリングリストでもその話題が上がってました。このエラーが出て困る場合は、コントローラで、
session :cookie_only => false
などと設定するといいみたい。うちもiアプリで問題なくなりました。