Séparez en toute sécurité la session entre https://secure.yourname.com et http://www.yourname.com sur l'application rails

Question

Mon site de rails poste un message sur un hôte sécurisé (par exemple 'https://secure.yourname.com') lorsque l'utilisateur se connecte au site . Les données de session sont stockées dans la base de données, le cookie contenant uniquement l'ID de session. Le problème est que lorsque l'utilisateur revient à une page non https, telle que la page d'accueil (par exemple 'http://www.yourname.com'), l'utilisateur semble s'être déconnecté. Je crois que la raison en est qu'un cookie séparé est stocké pour chaque hôte (www vs. secure). Est-ce correct?

Quelle est la meilleure façon sécurisée de conserver la session entre les sections http et https du site? Est-ce que quelqu'un connaît des plugins qui traitent ce problème?

Le site fonctionne sur Heroku.

Answer 1

Il semble que le cookie soit défini avec domain=secure.yourname.com. Il doit être domain=.yourname.com.

Dans Firefox, vous pouvez afficher les cookies par le site actuel: Tools -> Page Info -> Security -> View Cookies

Je ne sais pas comment faire ce changement Horoku. Je suggère de rechercher "Heroku cookie subdomain".

Answer 2

Cette stackoverflow answer a répondu à ma question.