When you upload your latest App to a production Web server and open it up to the world, you’re really throwing your app to the elements – good and bad.
If you don’t pay any attention to security whatsoever, you’re likely to be spammed by some cracker’s nefarious scheme and your users will be complaining when something doesn’t work or they’re being spammed by Nigerian clowns with pots of gold to share. But what to do?
12 controles de seguridad que se deben realizar antes de lanzar una RailsApp
- Don’t trust logged in users. (Authentication is one thing, authorization to perform certain tasks is another.)
- Cuidado con las asignaciones masivas. (¡Usa attr_accessible en tus modelos!)
- Haga que algunos atributos no sean editables con attr_readonly.
- Tenga cuidado con los vectores de inyección SQL. (El SQL sin formato en su código es un olor que vale la pena investigar).
- Evite que se carguen archivos ejecutables.
- Filtre los parámetros confidenciales de los registros.
- Tenga cuidado con CSRF (falsificación de solicitudes entre sitios) y use protect_from_forgery y csrf_meta_tag.
- Tenga cuidado con XSS (Cross-Site Scripting) y use el asistente h en las vistas (afortunadamente, este es el valor predeterminado en Rails 3).
- Tenga cuidado con los secuestros de sesión.
- Evite el uso de redireccionamientos a URL proporcionadas por el usuario.
- Evite el uso de parámetros de usuario o contenido en el método send_file.
- Haga que los métodos que no sean ActionController sean privados.
Suscríbete para recibir las últimas actualizaciones
Artículos Relacionados