[Ror-es] Seguridad
Esteban
ecorrales at mercedessoftware.com
Mon Sep 11 22:43:46 GMT 2006
Si tienes razón un hash de la sesion es mejor que session[:id].
Bueno, lo que busco es una alternativa a enviar el hash de la session en
el URL: www.example.com/app?session=3242EWRDFSD39E4324, entonces el
campo hidden en el form me pareció adecuado.
La idea es no servir requests de usuarios no autenticados, porque el
sitio recibe mucho tráfico
Xavier Noria wrote:
>On Sep 11, 2006, at 9:58 PM, Esteban wrote:
>
>
>
>>He estado pensado en esquemas para aumentar la seguridad de mi RoR
>>app.
>>A ver que les parece esta: Meter en cada formulario un campo escondido
>>(hidden field) con el valor de la session del usuario --este se puede
>>leer en el controlador con un before_filter-- para imposibilitar
>>que el
>>formulario fuese editado y enviado manualmente
>>
>>
>
>Que tipo de seguridad estas buscando? Por que te parece inseguro que
>se pueda editar un formulario (supongo que te refieres a campos no
>editables) o que se envie programaticamente?
>
>Lo de la sesion con sirve porque un crawler la mantiene, y si editas
>el formulario con las web developer tools de Firefox pasa lo mismo.
>Una posible solucion es "hashear" lo que quieras controlar en un
>campo oculto.
>
>De todos modos en el controlador siempre hay que programar sin asumir
>que los datos vienen como uno cree en condiciones normales, por
>robustez.
>
>
>_______________________________________________
>Ror-es mailing list
>Ror-es at lists.simplelogica.net
>http://lists.simplelogica.net/mailman/listinfo/ror-es
>
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.simplelogica.net/pipermail/ror-es/attachments/20060911/e6055272/attachment.htm
More information about the Ror-es
mailing list