Beaucoup de choses ont été écrites sur les incidents récents concernant GitHub et Ruby on Rails. J'avais envie d'ajouter mon point de vue personnel sur les évènements.
Commentaires
Vous devez
vous inscrire
ou
vous connecter
pour poster un commentaire
Très bon résumé merci !
Il y a environ 12 ansPour renchérir sur la vérifications des infos récupérées par un formulaire, dhh a posté un petit bout de code montrant comme ils font à 37signals, et ça m'semble pas mal propre & concis. https://gist.github.com/1975644
Il y a environ 12 ansLe coté positif de l'action d'Egor est d'avoir secoué tout le monde sur ce sujet délicat de sécurité. S'il l'avait dit a GitHub via le formulaire de contact, personne n'aurait pensé à verifier son propre code :)
Il y a environ 12 ansHo le troll du week-end sur rubylive :D.
Bon, sérieusement, y aura jamais de solution parfaite pour convenir à tout le monde. Obliger à utiliser attr_accesssible partout, bon pourquoi pas, mais dans la plupart de mes applis, mes modèles sont loin d'être tous accessibles aux utilisateurs via des formulaires...
Vu que Rails n'a pas d'objet pour représenter un formulaire (comme en Django), c'est effectivement au contrôleur d'effectuer la sanitization des paramètres comme l'indique DHH.
Sinon dans l'histoire ce qui me troue le c*** c'est qu'avec l'équipe de brute qu'à Github, comment a-t-elle pu oublier le attr_accessible dans tous les modèles..? Ça fait un peu un partie des 1ers points à vérifier dans la check-list de sécurisation d'une appli Rails.
Il y a environ 12 ans