如果我在Rails应用程序的ruby中使用restful_authentication，是否在paintext中的浏览器和服务器之间传输了密码？如果是这样，我应该为此而担心吗？

解决方案

回答

好吧，如果我们不通过HTTPS托管它，则需要担心...因为如果它是纯HTTP，那么可以用纯文本形式传递。

我不特别了解Rails，但是我很确定这与通过HTTP或者HTTPS托管它无关。

编辑：我发现此链接显然提供了HTTPS上的示例Rails应用程序。

进一步的编辑：这是讨论Rails的HTTPS的另一个链接。

回答

可以使用CHAP样式协议对纯文本进行身份验证。通过HTTP可以吗？

我问，因为我认为它需要服务器上的某些状态来阻止服务器上的重放攻击状态，这是使用RESTful架构可以消除的，对吗？

回答

如果我们担心密码的私密性(应该如此)，则还需要将此行添加到ApplicationController中：

filter_parameter_logging :password

否则，密码将以纯文本形式出现在日志文件中。