forum.opennet.ru

Составление сообщения

Исходное сообщение

"В GitHub устранена уязвимость, допускающая внедрение кода в ..."
Отправлено SLK, 06-Мрт-12 12:55

Да ладно, тролю напоминать про голову бесполезно.
Для тех кто не понял: Это не баг RoR, это баг самого GitHub.
В RoR есть стандартные средства для управления доступом к mass assignment.
То, что эти средства по умолчанию отключены - Ложь
Разработчикам GitHub и тем кто работает с RoR просто нужно за этим следить и расставлять
где надо attr_protected. Кроме того, в любом проекте на RoR можно запретить изменение
полей ActiveRecord через mass assignment как для любого класса в отдельности так и
глобально.
Читаем еще раз .... "За два дня до инцидента Егор оставил уведомление о найденной им
уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было закрыто с
комментарием, что ошибка находится в зоне ответственности конечных разработчиков
приложений на Ruby on Rails."
Егору +1000. Такой проект как GitHub обязан следить за безопасностью, тем более, что все эти фичи в RoR очень хорошо документированы.

Исходное сообщение
"В GitHub устранена уязвимость, допускающая внедрение кода в ..." Отправлено SLK, 06-Мрт-12 12:55
Да ладно, тролю напоминать про голову бесполезно. Для тех кто не понял: Это не баг RoR, это баг самого GitHub. В RoR есть стандартные средства для управления доступом к mass assignment. То, что эти средства по умолчанию отключены - Ложь Разработчикам GitHub и тем кто работает с RoR просто нужно за этим следить и расставлять где надо attr_protected. Кроме того, в любом проекте на RoR можно запретить изменение полей ActiveRecord через mass assignment как для любого класса в отдельности так и глобально. Читаем еще раз .... "За два дня до инцидента Егор оставил уведомление о найденной им уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было закрыто с комментарием, что ошибка находится в зоне ответственности конечных разработчиков приложений на Ruby on Rails." Егору +1000. Такой проект как GitHub обязан следить за безопасностью, тем более, что все эти фичи в RoR очень хорошо документированы.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру