基本認証では、url経由でparamsとして渡されたキーを使用できますか？

Question

スーパーセクシュアルまたはプライベートな話はしません。私はアクセスを制限するだけの状況があり、Railsのauthenticate_or_request_with_http_basicメソッドを使用してページにパスワードを要求することになっていました。それから、私は、URLに余分なパラメータを設定し、それを私が定義したものと比較することによって、それを行うこともできることを認識しました。したがって、次のようなものがあります。

www.mypage.com?secret=password 

def page 
    if params[:secret] == ENV["secret"] 
     ... 
    end 
end 

セキュリティの観点からは、これはRailsの方法ほど安全ではないのはなぜですか？ Railsのメソッドが提供するセキュリティは何に追加されましたか？

Answer 1

セキュリティのレベルは基本認証とほとんど同じですが、2つのフィールドの代わりに1つだけ必要です。

基本認証では、HTTPSで作業している場合を除き、ヘッダーに渡されるユーザー名とパスワードの機密性は提供されません。これは、HTTPSで暗号化されます。

唯一のことは、URLがブラウザの履歴に表示され、アドレスバーに表示されるということだけです。だから私はそれがあまり安全ではないと思います。なぜなら、誰かがあなたのブラウザの履歴にアクセスできるなら、彼らは鍵を得ることができるからです。

私はあなたがそれが気になることをどのように安全に決める必要があると思います。

私は、Deviseは認証（標準の種類、解決策）を管理するための素晴らしい宝であり、ユーザーレベルで権限を管理するための多くの優れたプラグインがあることを追加します。しかし、私はそれがあなたが望むものにとって過度のものであるかもしれないと感じます。