RubyやRubyのOSSの脆弱性を見つけた話の続き - ooooooo_qの日記
この記事はRuby Advent Calendar 2019 - Qiitaの24日目です。 去年(RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記)と同様にRuby関連で今年見つけた脆弱性の話です。 Ruby CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性 hackerone.com 脆弱性なのか判断に迷うもの。 引数が.sendにそのまま渡されるので値によってはコードが実行できるものでした。 .sendを使って実際に攻撃できるパターンが有るのか、Rubyのコードの中を調べて見つけた覚えがあります。 CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性 hackerone.com またNul文字。さすがにRubyではもうNul文字の問題はないのではないでしょうか。多分。 Pathna
新しいRailsフロントエンド開発(1)Asset PipelineからWebpackへ(翻訳)|TechRacho by BPS株式会社
新しいRailsフロントエンド開発(1)Asset PipelineからWebpackへ(翻訳) 新しいRailsフロントエンド開発(2)コンポーネントベースでアプリを書く(翻訳) 新しいRailsフロントエンド開発(3)Webpackの詳細、ActionCableの実装とHerokuへのデプロイ(翻訳) 概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Evil Front Part 1: Modern Front-end in Rails 原文公開日: 2017/12/05 著者: Andy Barnov、Alexey Plutalov サイト: Evil Martians 前書き 本記事は、フロントエンドのフレームワークに依存しないRailsプレゼンテーションロジックを現代的かつモジュール単位かつコンポーネントベースで扱う方法を独断に基いて解説するガイドです。3部構成のチュ
Each form gets its own CSRF token in Rails 5
We have written an extensive blog on what CSRF is and what steps Rails 4 takes to prevent CSRF. We encourage you to read that blog to fully understand rest of this article. Nested form can get around CSRF protection offered by Rails 4 A typical form generated in Rails 4 might look like this. 1 2<form method= "post" action="/money_transfer"> 3 <input type="hidden" name="authenticity_token" value="t
A Deep Dive into CSRF Protection in Rails
Updated in June 2019 to reflect code changes in Rails 6 If you’re using Rails today, chances are you’re using CSRF protection. It’s been there almost since the beginning, and it’s one of those features in Rails that makes your life easier without needing to give it a second thought. Briefly, Cross-Site Request Forgery (CSRF) is an attack that allows a malicious user to spoof legitimate requests to
N+1問題を発見しDBのクエリを改善するBullet
Started GET "/articles" for 127.0.0.1 at 2017-05-12 19:59:04 +0900 Processing by ArticlesController#index as HTML Rendering articles/index.html.haml within layouts/application Article Load (0.3ms) SELECT "articles".* FROM "articles" User Load (0.6ms) SELECT "users".* FROM "users" WHERE "users"."id" = $1 LIMIT $2 [["id", 1], ["LIMIT", 1]] User Load (0.4ms) SELECT "users".* FROM "users" WHERE "users
RubyのJITに生成コードのメモリ局所性対策を入れた話 - k0kubun's blog
昨日、RubyのJITの性能改善のためのパッチを入れた。 github.com JITすればするほどRailsが遅くなる問題 Rubyの次期バージョンである2.6には、バイトコードをCのコードに変換した後、gcc/clangでコンパイルして.soファイルにしdlopenすることで生成コードのロードを行なう、MJITと呼ばれるJITコンパイラが入っているのだが、マージしたころのツイートにも書いていた通り、Railsで使うとより多くのメソッドがJITされるほど遅くなってしまうという問題があった。 結果、"MJIT slows down Rails applications"というチケットが報告されることとなり、昨日までの5か月の間閉じることができなかった。 元の構成 対策を始める前のMJITは大雑把に言うとこういう感じだった。メソッド1つごとに1つの.soファイルが作られ、ロードされる。 無制
Rails Asset Pipeline Directory Traversal Vulnerability (CVE-2018-3760)
All previously released versions of Sprockets, the software that powers the Rails asset pipeline, contain a directory traversal vulnerability. This vulnerability has been assigned CVE-2018-3760. How do I know if I'm affected? Rails applications are vulnerable if they have this setting enabled in their application: # config/environments/production.rb config.assets.compile = true # setting to true m
大きな Rails アプリケーションをなんとかしよう。まずは計測と可視化からはじめよう。 - クックパッド開発者ブログ
こんにちは、技術部開発基盤グループの id:hogelog です。 RubyKaigi 2018 楽しかったですね。僕はおそらく RubyKaigi 2010 以来の久しぶりの参加でした。ああいう場の楽しさを思い出し、また今回はスポンサーブースから RubyKaigi に参加するという学生の頃は知らなかった楽しみも新たに知り、RubyKaigi を満喫させていただきました。 さて今回はそんな RubyKaigi で取り戻した Ruby に対する感情と関係あるようなないような、最近自分が取り組んでいるお台場プロジェクトとプロジェクト内で実施している計測と可視化について紹介します。 お台場プロジェクトの発足 クックパッドの開発といえば数年前までは cookpad_all という一つのリポジトリの中に詰め込まれた巨大なモノリシック Rails アプリケーションを社内のエンジニアが寄ってたかって開
Railsでカスタムmarkdownを実装する - k0kubun's blog
Railsでブログ実装したくなることないですか? その際に記法の選択肢の一つにmarkdownが出てくると思います。 redcarpetを使うと簡単にmarkdownを実装できるので、その方法をまとめました。 Redcarpetでmarkdownを実装する Gemfileにredcarpetを追加 gem 'redcarpet' helperにメソッドを作る app/helpers/markdown_helper.rb など作って、 module MarkdownHelper def markdown(text) unless @markdown renderer = Redcarpet::Render::HTML.new @markdown = Redcarpet::Markdown.new(renderer) end @markdown.render(text).html_safe e
Rails + Postgres Array + ANY LIKE - Adam Niedzielski
Ruby on Rails has a good support for Postgres Array type. I really like using this feature when creating a separate database table sounds like over-engineering. In this short post I want to share my solution for the following problem: “find a record for which any of its tags contains a given string”. Let’s use Book model with categories array field as an example. We start by generating a migration
Rails 5.1のencrypted secretsの運用について考える - Qiita
環境 Ruby - 2.4.1 Rails - 5.1.0 背景 Rails 5.1からencrypted secrets機能が追加され、Rails wayに乗った状態で、環境変数を暗号化した状態でgit管理できるようになった gibberish などのgemを使って.envファイルを暗号化して、git管理していた人は運用を乗り換えると良さそう セットアップ $ bin/rails secrets:setup Adding config/secrets.yml.key to store the encryption key: 0123456789abcdef0123456789abcdef Save this in a password manager your team can access. If you lose the key, no one, including you, can
ActiveSupport::MessageEncryptor::InvalidMessage Rails 5.1 secrets · Issue #31397 · rails/rails
I generated secrets.yml.enc & secrets.yml.key, after secrets:edit and deploy by capistrano, I get above error. I don't know why. Production mode locally works fine, but on real production wrong. /home/crazypiter1990/domains/crazypiter1990.usermd.net/shared/bundle/ruby/2.2.0/gems/activesupport-5.1.4/lib/active_support/message_encryptor.rb:133:in rescue in _decrypt': ActiveSupport::MessageEncryptor:
怖くない!React&Railsで作るTODOアプリ 実装編 - Qiita
仕様を分割して以下のステップでやっていきます とりあえずリストを表示する リストを追加する チェックした情報を保持する サーバーに送信してデータを保存する - データベースにあるリストを初期表示する とりあえず表示 frontent/index.js import React, { Component } from 'react' import { render } from 'react-dom' class App extends Component { render() { const { todoLists } = this.props return ( <div> <ul> {this.listCreator(todoLists)} </ul> </div> ) } listCreator(todoLists) { let lists = [] todoLists.forEach
Rails 5.1 API mode + webpacker + react + reactstrap な ToDO アプリに認証機能を追加する (sorcery gem で JWT) - Qiita
Rails 5.1 API mode + webpacker + react + reactstrap な ToDO アプリに認証機能を追加する (sorcery gem で JWT)RailsJWTsorceryReactwebpacker Rails 5.1 API mode + webpacker + react + reactstrap で ToDO アプリを書く の続きです sorcery を使って JWT 認証を実現する方法がいまいちまとまっていなかったので、自分用にメモしておきます Github Repository & commit log Rails 側: Github commit log React 側: Github commit log デモ デモ内容は以下 認証の制限がないページでの Task 追加 認証の制限があるページでエラーメッセージ表示 (下記、2つとも
新しいRubyアプリサーバー「NGINX Unit」を調べてみた(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: A New Ruby Application Server: NGINX Unit 原文公開日: 2018/03/28 著者: Nate Berkopec (@nateberkopec): Railsのパフォーマンスコンサルタントです。 主著: The Complete Guide to Rails Performance 参考に、NGINX Unitの動画を貼っておきます。 画像は元記事からの引用です。 概要: NGINX inc.は同社の新しい複数言語対応アプリサーバーであるNGINX UnitでRubyのサポートを開始しました。NGINX UnitはRubyアプリサーバーにどんな意味をもたらすのでしょうか?NGINX Unitは注目すべき製品なのでしょうか?(2057文字、10分) Rubyistのための新しいアプリサーバー
3年以上かけて培ったRails開発のコツ集大成(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Things I learned developing Ruby and Rails apps over the past 3+ years | by Filippos Vasilakis | Kollegorna 原文公開日: 2017/01/30 著者: Filippos Vasilakis 2017/11/20: 初版公開 2023/06/08: 訳文を更新 順序は特に決まっていません。 🔗 1. トップレベルにrescue_fromを書く ルートコントローラにrescue_fromを書くと、その下で発生したすべての例外をキャッチできるので非常に便利です。Webアプリにこれを追加すると、リクエスト/レスポンスのサイクルで実行されるほとんどのコードがさらに便利になります。 シンプルなAPIを例に考えます。rescue_fro
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Rails5でJSON APIのテストする際、POSTのパラメーターとして渡した2次元配列が展開されてしまう問題の対処法 - Qiita
rescue from ActiveRecord::RecordNotFound in Rails - Stack Overflow
Hackhands is now Pluralsight
クックパッドでの Webアプリケーション開発 2017 / Web application development in Cookpad 2017
