github の mass assignment 脆弱性が突かれた件

Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、

[sora_h]

書きました: github の mass assignment 脆弱性が突かれた件

[kabiy]

書きました: github の mass assignment 脆弱性が突かれた件

[tmatsuu]

素晴らしいまとめ。いいね！これだからRailsは…。ブラックリスト方式だと今後も脆弱性作り込んでしまうよね。is_adminとか勝手にtrueにされちゃうよ。それをmodelの構造が悪いと言われるのは酷。

[Cherenkov]

うちのhomakovがご迷惑を

[ykameda48]

github の mass assignment 脆弱性が突かれた件 - blog.sorah If new item saved, then send me an email. IFTTT Manage this Applet 45343453: http://email.ifttt.com/wf/click?upn=6tNAOFwxcF8KzWlMrDEXkIEDiqSckzA7sBu1-2B1B9l5GN-2FV2tyzrHXWnRYh7ZwPsmh6lrC1OH7wb9Waldiv-2B2Gg-3D-3D_Gdikd9Jwgq-2BbIviozy

[bash0C7]

@changeworlds 対策だからでは。

[akira_nishii01]

Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。

[anconium]

Articleモデルにattr_accessible :category_idみたいな実装してるアプリケーションに対して、HTTPのパラメータにcategory_id: 1をJSで書き込んで、@article.update_attributes params[:id]したら意図しない挙動を達成できるのかな。

[mabots]

attr_accessible の mass assignment。rails 4 の strong parameter の背景を理解するために

[speg03]

わかりやすい

[masutaka26]

#webcat

[japanrock]

分かりやすい。mass assignment 脆弱性についての議論の結果が気になる。

[rochefort]

> account 側の primary key を取得したんだろう? // apiで取得したようです。http://homakov.blogspot.com/2012/03/how-to.html

[Horiuchi_H]

そういえば、githubからメールきてたな。これって、外部パラメータをそのまま使わないって原則に従うように、フレームワークができていないって事が問題かな？

[unarist]

Railsがmass asignment脆弱性を発生しやすいことのデモにGithubが使われたってこと？

[vkgtaro]

mass assiginment 脆弱性ってなに？ って思ったらなるほど……。既存の project のこと考えると変更は難しいかもしれないけど、これはホワイトリストをデフォルトにしたほうがいいと思う。

[coji]

「例えば、Railsを避ける」

[iaskell]

なんかgithubからメールきたけどこの件？

[suVene]

「これだから php は」ｗ

[masakielastic2]

3年前に symfony 作者の Fabien さんが PHP コードを使って massive assingment の解説記事を書いていた。http://symfony.com/blog/security-must-be-taken-seriously

[mumincacao]

毎回指定するのはめんどいけど全部自動で受け付けちゃうときけんがあぶないよ・・・なんだかいろんなとこで聞いたことあるようなおはなしなのです・・・ （ーｘ【みかん

[arakash]

Railsの脆弱性

[ainame]

いいまとめ

[mrkn]

この記事の URL を gumroad に登録しろよ。

[k-holy]

実装を理解せず自動生成に頼り切ってるとこういう危険性があるということでしょうか。バリデーションは目的に合わせて全ての層でやった方がいいのかも、と考えてしまいます←フレームワーク全般の話

[ionis]

scaffoldにあるようなparamsを直接渡したりしてるコード等で作りがちな脆弱性のお話。

[gikazigo]

github の mass assignment 脆弱性が突かれた件 - http://t.co/Xs29Umod

[at_yasu]

ああ、Railsって過去の脆弱性を沿って実演する（ｒｙ） / 「何年も前に指摘されていた脆弱性に今頃慌てふためいている愚かでコンピュータサイエンスを学ぶには無能すぎてRailsくらいしか使えないz.」

[ebo-c]

primary keyであるidまでmass assignmentできるのはどうかしてると思う。これめんどくさがってるのはユーザー入力値じゃなくてobject間の値コピーについてなんだろうなー

[nrtm]

なるほど 'github の mass assignment 脆弱性が突かれた件 - http://t.co/aaroOCXj'

[Lambda_groove]

これはひどいなー。まあでも、railsなんてオモチャみたいなもんだし、仕方ないよね。

[harigel]

これだからRailsは…ｗ気をつけましょう。

[taketyan]

Validation を Model 自身がやるんじゃなくて, Form コンポーネントが別にあればちゃんと防げそう / Model はよりテーブル定義に近いレベルの Validation だけやる