12 controles de seguridad que se deben realizar antes de lanzar una RailsApp

Cuando carga su última aplicación en un servidor web de producción y la abre al mundo, realmente está arrojando su aplicación a los elementos, buenos y malos.

Si no presta atención a la seguridad en absoluto, es probable que le envíe spam algún esquema nefasto de un cracker y sus usuarios se quejen cuando algo no funciona o que payasos nigerianos les envíen spam con ollas de oro para compartir. ¿Pero qué hacer?

12 controles de seguridad que se deben realizar antes de lanzar una RailsApp

1. No confíes en los usuarios que han iniciado sesión. (La autenticación es una cosa, la autorización para realizar determinadas tareas es otra).
2. Cuidado con las asignaciones masivas. (¡Usa attr_accessible en tus modelos!)
3. Haga que algunos atributos no sean editables con attr_readonly.
4. Tenga cuidado con los vectores de inyección SQL. (El SQL sin formato en su código es un olor que vale la pena investigar).
5. Evite que se carguen archivos ejecutables.
6. Filtre los parámetros confidenciales de los registros.
7. Tenga cuidado con CSRF (falsificación de solicitudes entre sitios) y use protect_from_forgery y csrf_meta_tag.
8. Tenga cuidado con XSS (Cross-Site Scripting) y use el asistente h en las vistas (afortunadamente, este es el valor predeterminado en Rails 3).
9. Tenga cuidado con los secuestros de sesión.
10. Evite el uso de redireccionamientos a URL proporcionadas por el usuario.
11. Evite el uso de parámetros de usuario o contenido en el método send_file.
12. Haga que los métodos que no sean ActionController sean privados.