Rails セキュリティガイド | Rails ガイド
このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含めるべき項目、有名なセッション攻撃 Webサイトを開くだけで(CSRFによる)セキュリティ問題が発生するしくみ ファイルの取扱い上の注意、管理インターフェイスを提供する際の注意事項 ユーザーを正しく管理する(ログイン・ログアウトのしくみ、あらゆるレイヤにおける攻撃方法) 最も有名なインジェクション攻撃方法の解説 1 はじめに Webアプリケーションフレームワークは、Webアプリケーションの開発を支援するために作られました。フレームワークの中にはセキュリティを比較的高めやすいものもあります。実際のところ、あるフレームワークは他のよりも安
まだまだあるクロスサイト・スクリプティング攻撃法
前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ,HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は,HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と,その対策について解説する。 HTMLエンコードで対処できない攻撃には,次のようなものがある。 タグ文字の入力を許容している場合(Webメール,ブログなど) CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど) 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注) 以下では,HTMLタグやCSSの入力を許容している場合と,文字コードを明
「Ruby on RailsのCSRF対策」 | Ruby開発・事例サイト
みなさんこんにちは。野田貴子です。 ウェブサービスを作成する際には、CSRFやXSSを始めとした攻撃へのセキュリティを考えなくてはなりません。しかし最近はRuby on Railsのように最初からセキュリティ対策を備えているフレームワークも多く、特に意識せず開発を行っている人も多いかもしれませんね。 Ruby on RailsのCSRF対策について書かれたブログが注目を集めていたので、一部を紹介しておきたいと思います。 ・CSRFとは クロスサイトリクエストフォージェリー(CSRF)とは、攻撃者が被害者にリンクをクリックさせる、あるいはページを訪問させ、対象のサイトにリクエストを送らせる不正な行為のことです。この攻撃は被害者が対象のアプリケーションで認証済みになっている時(例えばブラウザの別タブでそのアプリケーションにログイン済みの場合)に成功します。 通常、利用者がアプリケーションにログ
Backbone.jsにReduxを導入してみる - Qiita
Reduxを導入する契機 ここ何年間かSPAアプリの構築にはBackbone.jsを使っています。 小さくて自由度が高いので、スマホのハイブリッドアプリによくマッチングするからです。 ただアプリが大きくなるにつれて、モデルのデータ管理が難しくなってきました。 SPAで作るにあたって、他の画面へモデルを引き継いだり、処理が完了すればモデルを初期化する必要が出てきます。 メニュー等で別の画面に直接飛んだり、入力をし直すために画面を戻った際にモデルのデータが意図せぬ状況になるパターンが増えてきました。 また、扱うモデルも増えてきたため、モデル内のデータがどのように変化をしているのかの把握が困難になりつつあります。 そこで目をつけたのがReduxです。 Reduxとは、アプリ全体で唯一のStoreを持ち、Reducerと呼ばれる副作用のない関数がAction(依頼種別とデータが組みになったObje
入門 Capistrano 3 ~ 全ての手作業を生まれる前に消し去りたい | GREE Engineering
はじめに この記事はGREE Advent Calendar 2013年の21日目です。お楽しみください! こんにちは、アゴひげがダンディーだと評判の九岡です。GREEでは、JavaやScalaを布教するための土台を固めるため、デプロイや監視の仕組みづくりなどを横断的にやっています。今回はその過程で得られた知識を「Capistrano 3の入門記事」という形で共有させていただきます。 この記事ではCapistrano 3の基礎をご紹介します。Capistrano 3はRubyをベースにしたサーバ操作およびデプロイの自動化ツールです。Capistrano 3を利用することで、デプロイなどの複雑なサーバ操作を自動化することができます。ここの記事では、特にデプロイに焦点をあてながら、Capistranoでサーバ操作を自動化する考え方と実現方法をご説明していきます。 Capistrano 3の習得
株式会社ソニックガーデン
その問題、 納品のない受託開発が 解決します! 「納品のない受託開発」は、システムの企画から開発・運用までワンストップで行う新しいビジネスモデル。「納品しておしまい」ではなく、伴走をしながら事業とシステムの改善を続けていきます。 私たちはお客さまのパートナーとなって、終わりのない事業の成長を支え続けることを目指します。 私たちの事業内容を紹介します
self.classの形でクラスメソッドを呼び出すときの注意点 - Qiita
はじめに この記事は書籍「プロを目指す人のためのRuby入門」に掲載できなかったトピックを著者自らが紹介するアドベントカレンダーの18日目です。 本文に出てくる章番号や項番号は書籍の中で使われている番号です。 今回はself.classでクラスメソッドを呼び出すときの注意点を説明します。 必要な前提知識 「プロを目指す人のためのRuby入門」の第7章まで読み終わっていること。 self.classの形でクラスメソッドを呼び出すときの注意点 7.5.3項ではクラスメソッドをインスタンスメソッドから呼び出す場合、次のように「self.class.クラスメソッド名」のような形で呼び出せることを説明しました。 class Product attr_reader :name, :price def initialize(name, price) @name = name @price = price
45歳多重派遣プログラマの退職エントリ
45歳多重派遣と言っても、噂のGitHubの人ではない。すまんな。。 皆さんはプロジェクトの共有ディレクトリの最下層に”女子大生”という何もないファイルを作ってアクセスログをとっていたのがバレて怒られた事はあるか?私はある。2回。 人は暇なとき、意外とディレクトリをめぐる旅をするものだ。 仕事でとうとうGitHubすら使わずにプログラマ人生を終えてしまった。 レガシーな技術を使いがちな金融プログラマではそこそこ居るのでは無いだろうか。 年収は20代後半からは550万~700万位だった。残業代・退職金は無く交通費は出ない。 所属会社は営業も事務も居ない小さな所帯のフリーの集まりのような所で、会社の運営に必要な金額をある程度毎月納めれば良い会社だった。 仕事がなくなれば自分、もしくは他社員の人脈で仕事をとってくる。フリーで居るよりは仕事を取りやすく、単価も上げやすいので一応会社の所属にしている
SmartHR会社紹介資料 / We are hiring - Speaker Deck
SmartHRの会社紹介資料の掲載場所を変更しました。 最新の会社紹介資料は以下のページからご覧ください。 SmartHR会社紹介資料:https://speakerdeck.com/smarthr_pr/smarthr-company-introduction1
SmartHR社が面談で「現年収・希望年収」を聞かない理由 - 宮田昇始のブログ
SmartHRの宮田です。 いま中国の深センからこのブログを書いています。深センすごい。 さて、SmartHR社では採用プロセスにおいて、求職者さんに「現年収・希望年収」を聞いていません。あえて聞かないルールにしています。 今回はそのことについて書いてみたいと思います。 100人目の社員に贈呈されたキリ番ゲットTシャツ 昔は聞いていた 昔は聞いていました。だって内定承諾して欲しいからね! 選考にはメンバーの時間もかなり使ってますし、「年収が希望よりちょっと低かった」を理由に断られたら悔しいじゃないですか。 特に会社初期は、今と比べて採用力も弱く、喉から手が出るほど人が欲しかったです。 なので、外さないオファー金額にしたいと思い、当たり前のように現年収・希望年収を聞いていました。何より楽ですし。 このままではマズいと思った 2年ほど前「このやり方のままだと、いつか組織がギスギスするな」と感じ
偽装請負 - Wikipedia
この記事は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。 ご自身が現実に遭遇した事件については法律関連の専門家にご相談ください。免責事項もお読みください。 偽装請負(ぎそううけおい)とは、日本において、契約が業務請負、業務委託、委任契約もしくは個人事業主であるのに実態が労働者供給あるいは供給された労働者の使役、または労働者派遣として適正に管理すべきである状況のことである。 これらすべてが民法上の取り扱いでは請負であり、契約形態を偽装・隠蔽することからこの名がついた。業務委託によるものは偽装委託(ぎそういたく)と表現する場合がある。 違法行為である(詳細は後述)。しかしながら、1986年の労働者派遣法の制定やそれ以前にも請負に対する問題は内在しており、2004年の法改正による製造業派遣規制の解禁がきっかけとなり、労働者派遣に対する
「マイノリティの被害者意識」に関する議論のジレンマ - 道徳的動物日記
良き人生について―ローマの哲人に学ぶ生き方の知恵 作者:ウィリアム・B・アーヴァイン 発売日: 2013/09/11 メディア: 単行本 『良き人生について:ローマの哲人に学ぶ生き方の知恵』については以前にも紹介したが、あらためて、この本の第11章「侮辱」からちょっと気になったところを引用しよう。 今日では、侮辱に対してユーモアで応えるとか、何も言わないとかいった対応は、ほとんどの人から好まれないだろう。とくに差別的表現の撤廃(ポリティカル・コレクトネス)を求める人びとは、一定の侮辱については罰を与えるべきだと考える。彼らの矛先が向かうのは、マイノリティ・グループや心身障害者をはじめ社会的・経済的に困難をかかえた人びとなど、「恵まれない」人びとに向けられた侮辱である。彼らはこう主張するーー恵まれない人びとは、心理的に傷つきやすい、したがって世間からの侮辱を放置していたら深刻な心理的ダメージ
Active Recordから考える次世代のRuby on Railsの方向性 / Directions for the next generation of Ruby on Rails: From the viewpoint of its Active Record
January 29, 2021 @ 銀座Rails #29
一番分かりやすい OAuth の説明 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の
よくわかる認証と認可 | DevelopersIO
よく訓練されたアップル信者、都元です。「認証 認可」でググると保育園の話が山程出て来ます。が、今日は保育園の話ではありません。そちらを期待した方はごめんなさい。こちらからお帰りください。 さて、先日のDevelopers.IO 2016において、マイクロWebアプリケーションというテーマでお話させて頂きました。一言で言うと OAuth 2.0 と OpenID Connect 1.0 のお話だったのですが、これらを理解するにあたっては「認証」と「認可」をはっきりと別のものとしてクッキリと認識する必要があります。 まず、ざっくりとした理解 認証と認可は密接に絡み合っている一方で全く別の概念です。正直、理解は簡単ではないと思います。 まず「認証」は英語では Authentication と言います。長いので略して AuthN と書いたりすることもあります。意味としては 通信の相手が誰(何)であ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
(Capistrano編)世界一丁寧なAWS解説。EC2を利用して、RailsアプリをAWSにあげるまで - Qiita
rails/activerecord/lib/active_record/associations.rb at main · rails/rails
StimulusReflex | StimulusReflex