[Ror-es] Seguridad

Jorge Bernal jbernal at warp.es
Mon Sep 11 23:02:37 GMT 2006 

El 12/09/2006, a las 0:43, Esteban escribió:

> Si tienes razón un hash de la sesion es mejor que session[:id].
>
> Bueno, lo que busco es una alternativa a enviar el hash de la  
> session en el URL: www.example.com/app?session=3242EWRDFSD39E4324,  
> entonces el campo hidden en el form me pareció adecuado.
>
pero esto ya te lo hace rails con cookies, con poner en  
application.rb algo como

...
before_filter :check_login

def check_login
	redirect_to :controller => 'users', :action => 'login' unless session 
[:user] or "login".eql? action_name
end
...

> La idea es no servir requests de usuarios no autenticados, porque  
> el sitio recibe mucho tráfico
>
>
> Xavier Noria wrote:
>> On Sep 11, 2006, at 9:58 PM, Esteban wrote:
>>
>>
>>> He estado pensado en esquemas para aumentar la seguridad de mi RoR
>>> app.
>>> A ver que les parece esta: Meter en cada formulario un campo  
>>> escondido
>>> (hidden field) con el valor de la session del usuario --este se  
>>> puede
>>> leer en el controlador con un before_filter--  para imposibilitar
>>> que el
>>> formulario fuese editado y enviado manualmente
>>>
>> Que tipo de seguridad estas buscando? Por que te parece inseguro que
>> se pueda editar un formulario (supongo que te refieres a campos no
>> editables) o que se envie programaticamente?
>>
>> Lo de la sesion con sirve porque un crawler la mantiene, y si editas
>> el formulario con las web developer tools de Firefox pasa lo mismo.
>> Una posible solucion es "hashear" lo que quieras controlar en un
>> campo oculto.
>>
>> De todos modos en el controlador siempre hay que programar sin asumir
>> que los datos vienen como uno cree en condiciones normales, por
>> robustez.
>>
>>
>> _______________________________________________
>> Ror-es mailing list
>> Ror-es at lists.simplelogica.net
>> http://lists.simplelogica.net/mailman/listinfo/ror-es
>>
>>
>
> _______________________________________________
> Ror-es mailing list
> Ror-es at lists.simplelogica.net
> http://lists.simplelogica.net/mailman/listinfo/ror-es

--
Jorge Bernal Ordovás  <jbernal at warp.es>
http://amedias.org/ [ES]
http://koke.amedias.org/ [EN]

Warp Networks         http://www.warp.es/
María de Luna 11, 50018 Zaragoza, España


-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.simplelogica.net/pipermail/ror-es/attachments/20060911/d7363473/attachment.htm 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 1940 bytes
Desc: not available
Url : http://lists.simplelogica.net/pipermail/ror-es/attachments/20060911/d7363473/attachment.bin

More information about the Ror-es mailing list