危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
こんにちは、みてねプロダクト開発部 プラットフォームグループ SREチームの kohbis です。 『家族アルバム みてね』(以下、みてね)では、ほとんどのサーバーサイドをRuby on Railsアプリケーションで展開しています。 そしてタイトルの通りですが、2024年6月時点でみてねのアプリケーションのすべてにおいてRuby 3.3.3へのアップグレードが完了したので、その結果について紹介したいと思います。 Ruby 3.3アップグレードの結果以下はみてねの主なAPIを提供しているアプリケーションのグラフ(平均)です。 Ruby 3.3リリースのタイミングで大幅にレスポンスタイムが改善していることがわかります🙌 Ruby 3.3へのアップグレードでおおよそ10%の速度改善を得られました。 グラフにはありませんがp95やp99も同様の割合、つまり速度としてはより大幅な速度改善にいたって
こんにちは。サーバーサイドエンジニアの @atolix_です。 今回はメドピアで本番運用をしているアプリケーションの1つであるやくばと for Clinicにて、Ruby 3.2からRuby 3.3にアップデートを行った際のパフォーマンスの変化を計測しました。 Ruby 3.3ではYJITの大幅な改善が含まれているので、これによるアプリケーションへの影響を確認していきます。 www.ruby-lang.org gihyo.jp 前提 本記事に記載されたデータは以下の条件で計測をしています。 Rails: 7.1.3.4 YJIT有効化時のオプションは特に付与していない状態(Dockerfileから環境変数を与えて有効化) 3.2.4(+YJIT)から3.3.1(+YJIT)へのアップデート 有効化前後の1週間を比較 パフォーマンスの変化 やくばと for Clinicではモノレポのアプリケ
Rails: ビューをきれいに書くのに便利な知られざるヘルパー10種(翻訳)|TechRacho by BPS株式会社
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Lesser Known Rails Helpers to Write Cleaner View Code | Rails Designer 原文公開日: 2024/05/30 原著者: Rails Designer -- Railsフロントエンド関連記事に加えて、ViewComponentとTailwind CSSを用いた美しいUIコンポーネントを販売しています 日本語タイトルは内容に即したものにしました。 Rails(厳密にはActive SupportとAction View)には、クリーンなコードを書くのに役立つ非常に優秀なヘルパーがいくつも備わっています。その中から、あまり知られていないが知っておくと重宝するヘルパーをいくつか紹介します。 本記事ではビューレイヤのコードを重視するヘルパーのみを取り上げます。Rails
RubyのJava実装「JRuby」、大口スポンサーのRed Hatが離脱で新たなスポンサーや寄付を募集。有償サポートも開始
RubyのJava実装「JRuby」、大口スポンサーのRed Hatが離脱で新たなスポンサーや寄付を募集。有償サポートも開始 Ruby言語のJavaによる実装である「JRuby」の開発者が、新たなスポンサーや寄付などを募集していることを明らかにしました。 これは長年にわたってJRubyの大口スポンサーであったRed Hatから、支援の停止の通知を受けたことがきっかけとなっています。 There’s big news in the JRuby world: tomorrow is JRuby’s Independence Day! Developer @headius has committed to fighting for JRuby users and he needs your help. Read his post to the JRuby Blog and follow your
Ruby研究シリーズ1: メソッド定義構文はどう決定され、どう進化したか(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: The design decisions and evolution of a method definition - Ruby case study 原文公開日: 2024/06/14 原著者: zverok 日本語タイトルは内容に即したものにしました。また、主にRuby以外のユーザーに向けたサイドストーリー的なパラグラフは囲みスタイルにしています。 本記事は、新シリーズ記事のパート1であり、おそらく書籍の一部として収録されることが見込まれています。Rubyプログラミング言語が設計されたときのさまざまな決定事項と、それらが時とともにどのように進化したか、より広い文脈ではどのように捉えられるかについて研究します。 今回はメソッド定義(method definitions)、つまりメソッド定義の一般的な形と、引数の指定方法を扱います
STORES 予約 でエンジニアリングマネージャーをしている Natsume です。 STORES 予約 は10年モノの45万行、380テーブルある大きなモノリスの Rails アプリケーションです。 業種にとらわれない汎用的な予約システムであり、それらに対応するように複雑なコードベースになっています。また、ここ 1~2 年はプロダクト間連携を進めており、各基盤やアプリケーションともつなげていく開発を進めています。今後も新規プロダクトとの連携や機能開発を進めるには、少しでも認知負荷を上げずに開発しやすい状態を保ち続けるか、が重要だと感じました。 その課題感の中で、今回はモジュラモノリスを選択し導入をしましたので、そちらのお話をしたいと思います! 現状の課題感 私が入社した3年前から STORES 予約 の開発メンバーは3倍になり比較的新しいメンバーが多く、また古くからいるエンジニアも少数な
Techouse社内勉強会の内容を紹介します(1) データベース<ACID編> - Techouse Developers Blog
Techouseの「エンジニア基礎勉強会」とは Techouse では「基礎勉強会」と称して2週間に1回、わたしが OS・ネットワーク・データベース・ハードウェア・セキュリティ・システムアーキテクチャなどをお話する勉強会を開催しています。 講師は私ひとり、資料を準備するのも私ひとり、動画を収録して YouTube Live で社内向けに配信する作業も私ひとりでやってます。 参加は任意ですが、社内のメンバー (社員・インターン生・業務委託でご参画いただいている方) の多くの方が参加してくれています。先日の RubyKaigi 2024 に参加してくれたメンバーもほとんどがこの勉強会に参加し、基礎的な知識をもった上でセッションへ臨んでくれました。 開催履歴 これまでの開催履歴はこんな具合です。 見ていただくとわかる通り、ほんとうに基礎的な内容を1個ずつやっているということがわかるかと思います。
Railsフロントエンド: ViewComponent+Tailwind CSS+Hotwireの便利技8つ(翻訳)|TechRacho by BPS株式会社
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Quicktips for ViewComponent with Tailwind CSS/Hotwire | Rails Designer 原文公開日: 2024/01/22 原著者: Rails Designer -- Railsフロントエンド関連記事に加えて、ViewComponentとTailwind CSSを用いた美しいUIコンポーネントを販売しています 日本語タイトルは内容に即したものにしました。 フロントエンドのコードは、歴史的に少々軽く見られていました。「HTMLは本物の言語じゃない!」「CSSはサイテー!」「JavaScriptもそうだ!」。嘆かわしい話です。Railsは1個人だけの開発チームに、すべてが完全に揃った製品を構築できる本物のスーパーパワーを与えてくれるのですから。 Railsアプリ作成がさらに楽し
Ruby と thor を使って書いた。Runa を使って blog コマンドとして登録してある。 github.com 使い方 # 新規記事作成 $ blog new タイトル # VSCode で開く $ blog edit # blogsync push $ blog push # blogsync pull $ blog pull # 開く $ blog open # 管理画面を開く $ blog manage
note株式会社は、Railsガイドに協賛をします。 2014年のサービス開始から今までRailsで開発をしてきまいた。これまですばやくリリースをし、サービス拡大を持続できているのも、Railsのレールの上を走ってこられたからです。エンジニアが開発にすぐに着手できるスピード感は、他のフレームワークにはない強みだと考えています。 Railsで開発を続けている企業にとって心強いのがRailsガイドの存在です。定期的に迅速に改善されていく日本語ドキュメントがあるのも、Railsが愛される理由の一つでしょう。 そんなRailsガイドに少しでも恩返しできるように、協賛という形で支援をしたいと思っております。 ▲Railsガイドを運営するYassLab 株式会社さんにも記事にしていただきました Railsガイドの概要RailsガイドはRuby on Railsに特化した1,600ページ超えの大型リファ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
『家族アルバム みてね』はRuby 3.3で動いています
Ruby 3.3(+YJIT)へのアップデートによるパフォーマンス変化の計測 - メドピア開発者ブログ
STORES 予約 をモジュラモノリス化しました! - STORES Product Blog
自分用の blog コマンドを作った - おんがえしの blog
noteはRailsガイドに協賛します|noteエンジニアチームの技術記事