12 Sicherheitsüberprüfungen, die vor der Veröffentlichung einer RailsApp durchgeführt werden müssen

Wenn Sie Ihre neueste App auf einen Produktions-Webserver hochladen und der Welt zugänglich machen, überlassen Sie Ihre App den Elementen – den guten und den schlechten.

Wenn Sie überhaupt nicht auf Sicherheit achten, werden Sie wahrscheinlich von den ruchlosen Machenschaften eines Crackers mit Spam-Mails belästigt und Ihre Benutzer werden sich beschweren, wenn etwas nicht funktioniert, oder sie werden von nigerianischen Clowns mit Goldtöpfen zugespammt Aktie. Aber was soll man machen?

12 Sicherheitsüberprüfungen, die vor der Veröffentlichung einer RailsApp durchgeführt werden müssen

1. Vertraue angemeldeten Benutzern nicht. (Authentifizierung ist eine Sache, die Autorisierung zur Ausführung bestimmter Aufgaben eine andere.)
2. Hüten Sie sich vor Massenaufträgen. (Verwenden Sie attr_accessible in Ihren Modellen!)
3. Machen Sie einige Attribute mit attr_readonly nicht bearbeitbar.
4. Achten Sie auf SQL-Injection-Vektoren. (Raw SQL in Ihrem Code ist ein Geruch, der es wert ist, untersucht zu werden.)
5. Verhindern Sie das Hochladen ausführbarer Dateien.
6. Filtern Sie sensible Parameter aus den Protokollen.
7. Hüten Sie sich vor CSRF (Cross-Site Request Forgery) und verwenden Sie „protect_from_forgery“ und „csrf_meta_tag“.
8. Hüten Sie sich vor XSS (Cross-Site Scripting) und verwenden Sie den h-Helfer in Ansichten (dies ist glücklicherweise die Standardeinstellung in Rails 3).
9. Achten Sie auf Session-Hijacks.
10. Vermeiden Sie Weiterleitungen zu vom Benutzer bereitgestellten URLs.
11. Vermeiden Sie die Verwendung von Benutzerparametern oder Inhalten in der send_file-Methode.
12. Machen Sie Nicht-ActionController-Methoden privat.