Hallo Mitleser,

Ich habe gerade einen Blog-Post dazu gelesen, der es mir recht anschaulich darlegt, ich hoffe da steht kein Mist ;-)

Ich habe gerade keine Zeit den zu lesen, sorry - ich schau ihn mir in der Mittagspause an.

Wenn ich fragen darf, wie geht ihr für die Signatur hier im Forum vor? Ein Secret, was nur der Server kennt?

Standard-Rails-Weg: ein Secret, dass nur der Server kennt.

Dann wären bei einem Servereinbruch ja alle Sessions kompromittierbar. Also vermutlich noch mehr?

Bei einem Server-Einbruch sind immer alle Sessions kompromittierbar, dabei ist es egal, ob ich sie in einer Datei speichere (die ist dann für den Angreifer zugänglich), in der Datenbank (die Applikation muss ja den Zugang zur DB kennen und damit ist sie für den Angreifer zugänglich) oder in einem Store wie Memcached/Redis (hier gilt das gleiche wie für die Datenbank). Da lässt sich nach meinem Kenntnisstand nichts dran ändern.

LG,
CK