[Ror-es] Seguridad

Damian Janowski damian.janowski at gmail.com
Tue Sep 12 00:58:38 GMT 2006 

si no me equivoco esto se podría re-escribir como:

before_filter :check_login, :except => :login

On 9/11/06, Jorge Bernal <jbernal at warp.es> wrote:
>
>
>
> El 12/09/2006, a las 0:43, Esteban escribió:
>
> Si tienes razón un hash de la sesion es mejor que session[:id].
>
> Bueno, lo que busco es una alternativa a enviar el hash de la session en el
> URL: www.example.com/app?session=3242EWRDFSD39E4324,
> entonces el campo hidden en el form me pareció adecuado.
>
> pero esto ya te lo hace rails con cookies, con poner en application.rb algo
> como
>
> ...
> before_filter :check_login
>
> def check_login
> redirect_to :controller => 'users', :action => 'login' unless session[:user]
> or "login".eql? action_name
> end
> ...
>
>
> La idea es no servir requests de usuarios no autenticados, porque el sitio
> recibe mucho tráfico
>
>
> Xavier Noria wrote:
> On Sep 11, 2006, at 9:58 PM, Esteban wrote:


> He estado pensado en esquemas para aumentar la seguridad de mi RoR
app.
A
> ver que les parece esta: Meter en cada formulario un campo escondido
(hidden
> field) con el valor de la session del usuario --este se puede
leer en el
> controlador con un before_filter-- para imposibilitar
que el
formulario
> fuese editado y enviado manualmente

> Que tipo de seguridad estas buscando? Por que te parece inseguro que
se
> pueda editar un formulario (supongo que te refieres a campos no
editables)
> o que se envie programaticamente?

Lo de la sesion con sirve porque un
> crawler la mantiene, y si editas
el formulario con las web developer tools
> de Firefox pasa lo mismo.
Una posible solucion es "hashear" lo que quieras
> controlar en un
campo oculto.

De todos modos en el controlador siempre hay
> que programar sin asumir
que los datos vienen como uno cree en condiciones
> normales, por
>
robustez.


_______________________________________________
Ror-es
> mailing
> list
Ror-es at lists.simplelogica.net
http://lists.simplelogica.net/mailman/listinfo/ror-es

>
> _______________________________________________
> Ror-es mailing list
> Ror-es at lists.simplelogica.net
> http://lists.simplelogica.net/mailman/listinfo/ror-es
>
>
> --
> Jorge Bernal Ordovás  <jbernal at warp.es>
> http://amedias.org/ [ES]
> http://koke.amedias.org/ [EN]
>
> Warp Networks         http://www.warp.es/
> María de Luna 11, 50018 Zaragoza, España
>
>
> _______________________________________________
> Ror-es mailing list
> Ror-es at lists.simplelogica.net
> http://lists.simplelogica.net/mailman/listinfo/ror-es
>
>
>
>


-- 
Damian Janowski
damian.janowski at gmail.com

More information about the Ror-es mailing list