[Ror-es] Seguridad
Esteban
ecorrales at mercedessoftware.com
Tue Sep 12 18:23:10 GMT 2006
Gracias a todos, me han orientado bastante en este asunto de la
seguridad de una webapp. Veo que no estaba tan perdido con la idea de
incluir un hash generado por el servidor en un hidden input, esta
técnica se usa para prevenir
los Cross-site request forgery o CSRF
Aqui es explica un poco
http://www.squarefree.com/securitytips/web-developers.html
El asunto ahora es implementar este esquema de seguridad :-)
Saludos
Rafael Garcia wrote:
>Esteban escribió:
>
>
>>He estado pensado en esquemas para aumentar la seguridad de mi RoR app.
>>A ver que les parece esta: Meter en cada formulario un campo escondido
>>(hidden field) con el valor de la session del usuario --este se puede
>>leer en el controlador con un before_filter-- para imposibilitar que el
>>formulario fuese editado y enviado manualmente
>>
>>En la vista
>>
>><%= hidden "session", session[:id] %>
>>
>>En el controlador
>>
>>before_filter :check_session
>>
>>def check_session
>> redirect_to(:action => "access_denied") unless params[session] =
>>session[:id]
>> # si es necesario
>> return false
>>end
>>_______________________________________________
>>Ror-es mailing list
>>Ror-es at lists.simplelogica.net
>>http://lists.simplelogica.net/mailman/listinfo/ror-es
>>
>>
>>
>Sabía que había leído algo en algún lado:
> http://wiki.rubyonrails.org/rails/pages/HowToPreventFormInjection
>
>Y algún enlace más relacionado con la seguridad:
>http://wiki.rubyonrails.org/rails/pages/SecurityConcerns
>
>
>Saludos
>_______________________________________________
>Ror-es mailing list
>Ror-es at lists.simplelogica.net
>http://lists.simplelogica.net/mailman/listinfo/ror-es
>
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.simplelogica.net/pipermail/ror-es/attachments/20060912/e135ab42/attachment.htm
More information about the Ror-es
mailing list