エンコードの方法

• /Library/Ruby/Gems/1.8/gems/actionpack-2.0.2/lib/action_controller/session/cookie_store.rb

• /System/Library/Frameworks/Ruby.framework/Versions/1.8/usr/lib/ruby/gems/1.8/gems/actionpack-1.13.6/lib/action_controller/session/cookie_store.rb

class CGI::Session::CookieStore
...（中略）...
  private
    # Marshal a session hash into safe cookie data. Include an integrity hash.
    def marshal(session)
      data = Base64.encode64(Marshal.dump(session)).chop
      CGI.escape "#{data}--#{generate_digest(data)}"
    end

    # Unmarshal cookie data to a hash and verify its integrity.
    def unmarshal(cookie)
      if cookie
        data, digest = CGI.unescape(cookie).split('--')
        unless digest == generate_digest(data)
          delete
          raise TamperedWithCookie
        end
        Marshal.load(Base64.decode64(data))
      end
    end
...（中略）...

• エンコードは、sessionオブジェクト >> Marshal.dump >> Base64.encode64 >> CGI.escape
• デコードは、CGI.unescape >> Base64.decode64 >> Marshal.load >> sessionオブジェクト

script/consoleで解読する

>> cookie = "BAh7BzoMY3NyZl9pZCIlYmE0MjAyNzRkYTczNjg0NGI5YmM5MzBlYWQzMTcw%250AMzMiCmZsYXNoSUM6J0FjdGlvbkNvbnRyb2xsZXI6OkZsYXNoOjpGbGFzaEhh%250Ac2h7AAY6CkB1c2VkewA%253D--1169bd07e96689065f9af999e6b9866351f14c57"

    

        => ["BAh7BzoMY3NyZl9pZCIlYmE0MjAyNzRkYTczNjg0NGI5YmM5MzBlYWQzMTcw%0AMzMiCmZsYXNoSUM6J0FjdGlvbkNvbnRyb2xsZXI6OkZsYXNoOjpGbGFzaEhh%0Ac2h7AAY6CkB1c2VkewA%3D", "1169bd07e96689065f9af999e6b9866351f14c57"]

    

        ArgumentError: dump format error(0x33)
	from (irb):109:in `load'
	from (irb):109

    
しかし...dump format errorが出て止まってしまう...。ガックリ。
なぜ、dump format errorなのか悩んでいたら、一つ不自然なところに気付いた。CGI.unescapeしているはずなのに、その後のdata文字列の中に"%0A"や"%3D"が見えるのだ。エスケープ文字列を復元しているはずなのに、それはおかしい...。CGI.unescape前の文字列を確認してみると、その箇所は"%250A"と"%253D"となっている。"%25"、つまりアスキーコード表の16進数文字コードで確認すると「%」だ。おそらく、CGI.escapeを2回処理している可能性がある。
ということで、CGI.unescapeも2回処理する手順でやってみた。
>> cookie = "BAh7BzoMY3NyZl9pZCIlYmE0MjAyNzRkYTczNjg0NGI5YmM5MzBlYWQzMTcw%250AMzMiCmZsYXNoSUM6J0FjdGlvbkNvbnRyb2xsZXI6OkZsYXNoOjpGbGFzaEhh%250Ac2h7AAY6CkB1c2VkewA%253D--1169bd07e96689065f9af999e6b9866351f14c57"

    

        => ["BAh7BzoMY3NyZl9pZCIlYmE0MjAyNzRkYTczNjg0NGI5YmM5MzBlYWQzMTcw%0AMzMiCmZsYXNoSUM6J0FjdGlvbkNvbnRyb2xsZXI6OkZsYXNoOjpGbGFzaEhh%0Ac2h7AAY6CkB1c2VkewA%3D", "1169bd07e96689065f9af999e6b9866351f14c57"]

    

        => "BAh7BzoMY3NyZl9pZCIlYmE0MjAyNzRkYTczNjg0NGI5YmM5MzBlYWQzMTcw\nMzMiCmZsYXNoSUM6J0FjdGlvbkNvbnRyb2xsZXI6OkZsYXNoOjpGbGFzaEhh\nc2h7AAY6CkB1c2VkewA="

    

        => {"flash"=>{}, :csrf_id=>"ba420274da736844b9bc930ead317033"}

    
解読できた！（こんな苦労をしなくても、<%= session.inspect %>をビューのどこかで実行すれば、sessionオブジェクトの内容は確認できるのですが...。自分の手でブラウザのクッキーから復元することに魅力を感じたので。）


    
クッキーの中身を確認
    つまり、クッキーの中身は、以下のハッシュオブジェクトということだ！
{"flash"=>{}, :csrf_id=>"ba420274da736844b9bc930ead317033"}


"flash"=>{}は、次のアクションまで保持されるセッションデータ。上記は空のハッシュ。つまりflashの中身は空っぽ。
:csrf_id=>"ba420274da736844b9bc930ead317033"は、CSRF対策のためのauthenticity_tokenを生成するためのキー。


    
authenticity_tokenとは？
    以前のPUT問題で調べていた時、rails2.0のform_forは、以下のように展開されることを確認した。
<%# ビュー: app/views/slips/edit.rhtml %>
<% form_for(@slip) do |f| %>
<% end %>

<%# 上記は以下のHTMLを生成する。%>
<form action="/slips/11" class="edit_slip" id="edit_slip_11" method="post">
  <div style="margin:0;padding:0">
    <input name="_method" type="hidden" value="put" />
    <input name="authenticity_token" type="hidden" value="bc70df10a269ed11ebcd411fbebf0b732908f40b" />
  </div>
</form>
見えないinputフォームで、:_method=>"put"と同時に、:authenticity_token=>"bc70df10a269ed11ebcd411fbebf0b732908f40b"も送信していたのだ。この:authenticity_tokenを生成する時に、クッキー内の:csrf_idが利用されているようだ。



    
なぜauthenticity_tokenを送信するのか？
    これは、CSRF（クロスサイトリクエストフォージェリ）という悪意のあるページへの対策らしい。CSRFについては、検索すれば詳しく書かれたページCSRFについて - willnetさんの日記を見て、なるほど！と思いスッキリ。
 :authenticity_tokenによって、外部のページからの不正な送信を無効にしているようだ。（正しい:authenticity_tokenを一緒に送信してきたフォームデータのみ受け付けるようになっている。外部のページは正しい:authenticity_tokenを知ることが出来ないので。）



    
protect_from_forgeryについて
    rails2.0からApplicationControllerは、デフォルトで以下のようにコーディングされている。
# Filters added to this controller apply to all controllers in the application.
# Likewise, all the methods added will be available for all controllers.

class ApplicationController < ActionController::Base
  helper :all # include all helpers, all the time

  # See ActionController::RequestForgeryProtection for details
  # Uncomment the :secret if you're not using the cookie session store
  protect_from_forgery # :secret => '62131e8be3a35fd28465e41d6cd97cf9'
end
protect_from_forgeryという部分が以前から気になっていたが、これによってauthenticity_tokenに不正が無いかをチェックしているようだ。

試しに、Firebugでauthenticity_tokenを改ざんして送信ボタンを押してみると、ActionController::InvalidAuthenticityTokenというエラーが発生する。
次に、送信ボタンを押す前の改ざんページに戻って、protect_from_forgeryをコメントアウトしてから同じように送信ボタンを押してみると、今度は正常に更新されてしまった。



    
:secretオプションのコメントアウトが気になる...。
    protect_from_forgeryの後の:secret => '62131e8be3a35fd28465e41d6cd97cf9'がコメントアウトされていて良いのだろうか？と不安を感じていたが、セッションをクッキーに保存する方式(cookie session store)ならコメントアウトした状態で問題ないようだ。:secretがnilなら、その代わりにクッキー内の:csrf_idが利用される、と自分では理解した。（セキュリティに関することなので、詳細は自分自身で確認することをお勧めします。）

/Library/Ruby/Gems/1.8/gems/actionpack-2.0.2/lib/action_controller/request_forgery_protection.rb




    
参考ページ
    以下のページがたいへん参考になりました。素晴らしいページに感謝です！

Rails 2.0の新しいセッション管理-CookieStore - iビジネス&テクノロジーさん
CSRFについて - willnetさんの日記
Rails 2.0のセッション話 - moroさんの日記


Marshal - Rubyリファレンスマニュアル
base64 - Rubyリファレンスマニュアル
cgi - Rubyリファレンスマニュアル
ASCII文字コード ： IT用語辞典