12 contrôles de sécurité à effectuer avant de publier une RailsApp

Lorsque vous téléchargez votre dernière application sur un serveur Web de production et que vous l'ouvrez au monde, vous jetez réellement votre application aux éléments – bons et mauvais.

Si vous ne prêtez aucune attention à la sécurité, vous risquez d'être spammé par un stratagème infâme de pirates informatiques et vos utilisateurs se plaindront lorsque quelque chose ne fonctionne pas ou seront spammés par des clowns nigérians avec des pots d'or pour partager. Mais que faire?

12 contrôles de sécurité à effectuer avant de publier une RailsApp

1. Ne faites pas confiance aux utilisateurs connectés. (L'authentification est une chose, l'autorisation d'effectuer certaines tâches en est une autre.)
2. Méfiez-vous des missions de masse. (Utilisez attr_accessible dans vos modèles !)
3. Rendre certains attributs non modifiables avec attr_readonly.
4. Méfiez-vous des vecteurs d'injection SQL. (Le SQL brut dans votre code mérite d'être étudié.)
5. Empêcher le téléchargement de fichiers exécutables.
6. Filtrez les paramètres sensibles des journaux.
7. Méfiez-vous du CSRF (Cross-Site Request Forgery) et utilisez protector_from_forgery et csrf_meta_tag.
8. Méfiez-vous du XSS (Cross-Site Scripting) et utilisez l'assistant h dans les vues (c'est la valeur par défaut dans Rails 3, heureusement).
9. Méfiez-vous des détournements de session.
10. Évitez d'utiliser des redirections vers les URL fournies par l'utilisateur.
11. Évitez d'utiliser des paramètres utilisateur ou du contenu dans la méthode send_file.
12. Rendre privées les méthodes non-ActionController.