12 contrôles de sécurité à effectuer avant de publier une RailsApp

When you upload your latest App to a production Web server and open it up to the world, you’re really throwing your app to the elements – good and bad.

If you don’t pay any attention to security whatsoever, you’re likely to be spammed by some cracker’s nefarious scheme and your users will be complaining when something doesn’t work or they’re being spammed by Nigerian clowns with pots of gold to share. But what to do?

12 contrôles de sécurité à effectuer avant de publier une RailsApp

1. Don’t trust logged in users. (Authentication is one thing, authorization to perform certain tasks is another.)
2. Méfiez-vous des missions de masse. (Utilisez attr_accessible dans vos modèles !)
3. Rendre certains attributs non modifiables avec attr_readonly.
4. Méfiez-vous des vecteurs d'injection SQL. (Le SQL brut dans votre code mérite d'être étudié.)
5. Empêcher le téléchargement de fichiers exécutables.
6. Filtrez les paramètres sensibles des journaux.
7. Méfiez-vous du CSRF (Cross-Site Request Forgery) et utilisez protector_from_forgery et csrf_meta_tag.
8. Méfiez-vous du XSS (Cross-Site Scripting) et utilisez l'assistant h dans les vues (c'est la valeur par défaut dans Rails 3, heureusement).
9. Méfiez-vous des détournements de session.
10. Évitez d'utiliser des redirections vers les URL fournies par l'utilisateur.
11. Évitez d'utiliser des paramètres utilisateur ou du contenu dans la méthode send_file.
12. Rendre privées les méthodes non-ActionController.