22 Jul '12, 7am

ASCIIcast 358 - Brakeman (日本語): #railscasts #asciicasts #free

Brakemanはこのエラーが問題である確度は弱いと言っているので、もしかしたらこれは問題ではないかも知れませんが、常に念のために調査するようにするのがいいでしょう。Redirectの警告についてのドキュメント にこのタイプの脆弱性についての詳細情報があります。ユーザから渡されたパラメータに基づいてリダイレクトを行なうと、フィッシング攻撃の標的になってしまいます。我々のサイトにそっくりな悪意のあるサイトが作られて、そのサイトの持ち主がこの脆弱性を利用して我々のサイトから彼らのサイトにリダイレクトさせることが可能です。誰かが我々のアプリケーションにログインした後に悪意のあるサイトにリダイレクトされると、例えばパスワードの再入力を求められる可能性があります。我々のサイトをこの脆弱性から守るためには、リダイレクト先をアプリケーション内に限定するよう:only_path オプションを使用します。アプリケーションのSessionsController で、newアクションのパラメータから設定されたreturn_to というセッション変数の値に基いてリダイレクトを行います。

Full article: http://railscasts.com/episodes/358-brakeman?language=ja&v...

Tweets

he @railscasts effect

rubygems.org 25 Jul '12, 3pm

rack-mini-profiler stats for 0.1.7 Overview 0.1.7 0.1.6 0.1.5 0.1.4 0.1.3 0.1.2 0.1.1 0.1 Page loading speed displayed on ...

Railscasts - About Railscasts:

Railscasts - About Railscasts:

railscasts.com 02 Aug '12, 8pm

RailsCasts is produced by Ryan Bates (rbates on Twitter and ryanb on GitHub). A new episode will be released each week fea...