Beaucoup de choses ont été écrites sur les incidents récents concernant GitHub et Ruby on Rails. J'avais envie d'ajouter mon point de vue personnel sur les évènements.

Commentaires

Très bon résumé merci !

Il y a presque 5 ans

Pour renchérir sur la vérifications des infos récupérées par un formulaire, dhh a posté un petit bout de code montrant comme ils font à 37signals, et ça m'semble pas mal propre & concis. https://gist.github.com/1975644

Il y a presque 5 ans

seb

Le coté positif de l'action d'Egor est d'avoir secoué tout le monde sur ce sujet délicat de sécurité. S'il l'avait dit a GitHub via le formulaire de contact, personne n'aurait pensé à verifier son propre code :)

Il y a presque 5 ans

Ho le troll du week-end sur rubylive :D.

Bon, sérieusement, y aura jamais de solution parfaite pour convenir à tout le monde. Obliger à utiliser attr_accesssible partout, bon pourquoi pas, mais dans la plupart de mes applis, mes modèles sont loin d'être tous accessibles aux utilisateurs via des formulaires...

Vu que Rails n'a pas d'objet pour représenter un formulaire (comme en Django), c'est effectivement au contrôleur d'effectuer la sanitization des paramètres comme l'indique DHH.

Sinon dans l'histoire ce qui me troue le c*** c'est qu'avec l'équipe de brute qu'à Github, comment a-t-elle pu oublier le attr_accessible dans tous les modèles..? Ça fait un peu un partie des 1ers points à vérifier dans la check-list de sécurisation d'une appli Rails.

Il y a presque 5 ans
Vous devez vous inscrire ou vous connecter pour poster un commentaire