AbcLinuxu:/ Zprávičky / Další kritická chyba v Ruby on Rails

Štítky: chyba, programování, Ruby, Ruby On Rails, SQL, XML

Další kritická chyba v Ruby on Rails

Thomas Hollstege informuje o další kritické chybě objevené v Ruby on Rails. Zatímco před 14 dny šlo o chybu v XML parseru, tentokrát jde o díru v implementaci JSON, která umožňuje mimo jiné SQL injection.

12.2.2013 10:10 | Jakub Lucký | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

12.2.2013 11:14 R
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Odpovědět | Sbalit | Link | Blokovat | Admin

Hlavne nepouzivajte PHP, lebo je nebezpecne :D

12.2.2013 11:45 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

PHP je tak bezpečné ako bezpečne dokáže pracovať programátor + neraz som v PHP videl stack overflowy, segmentation fault ... takže okrem toho čo môže pokašlať programátor tam pribudnú diery samotného jazyka.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

12.2.2013 12:07 R
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Takze je to uplne rovnake ako u vsetkych ostatnych jazykov.

12.2.2013 12:11 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Toto sa týka frameworku, nie jazyka samotného. Ako jazyk je PHP svojou bezpečnosťou za absolútne všetkým čo poznám. Kto písal niekedy rozšírenia PHP v C asi pochopil ako je PHP celé stavané. Ak sa na to pozriem ako sa v PHP píšu aplikácie tak to je tiež jedna veľká katastrofa. Niekoľko krát som si zostrelil databázu kvôli zle ukončenej podmienke (PHP niekde vyhodilo že "0" je false a už sa to viezlo, pár neexistujúcich indexov v poli kde sa aplikácia nezastavila ale potichu fungovala ďalej, rozbité DFS stromy ...).

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

12.2.2013 12:34 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Mate pravdu oba.

PHP a Ruby, a jejich frameworky jsou spatne.

Je treba pouzivat Python a treba Django ;-)

A former Red Hat freeloader.

12.2.2013 12:37 ---- | skóre: 33 | blog:
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

PHP je špatný jazyk se špatnými frameworky, Ruby je slušný jazyk, ale RoR stojí za h*vno.. Python je takový průměr, Django je "meh", s Pythonem bych použil třeba Flask.

12.2.2013 12:52 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Ruby je slušný jazyk ... Python je takový průměr

Tohle me zajima.

Pred cca osmi lety jsem resil prechod z Perlu na bud Python a nebo Ruby, a Python vyhral.

Od te doby jsem nehledel zpet, Python3 mi vyhovuje a jaka je situace se soucasnym Ruby, ani nevim.

Tedy jaka je tedy situace ted? Proc je Ruby lepsi?

U frameworku moc nevim, stranky nedelam, jen obcas "vizualizuji" data, a na to pouzivam predevsim CherryPy.

A former Red Hat freeloader.

12.2.2013 13:14 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Ruby je lepší protože ... má nejzábavnější podcast o programování - Ruby Rogues.

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

12.2.2013 13:21 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Stranka, ktera po me chce shockwave-flash nemuze byt dobra z principu!

A former Red Hat freeloader.

12.2.2013 13:39 ---- | skóre: 33 | blog:
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

poznámka, myslel jsem to pouze z pohledu designu jazyka (Ruby se mi líbí jako jazyk o něco víc), nikoliv implementace či podpory frameworků/knihoven (tam by určitě vyhrál Python)

12.2.2013 14:39 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

OK, osobni preference.

A former Red Hat freeloader.

12.2.2013 12:44 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

což o to, že

"0" == False

ale mě tuhle totálně uzemnilo (a hlavně mojí aplikaci) že

empty("0") == True

Já vím, že je to zdokumentované, ale je to zdokumentované WTF...

If you understand, things are just as they are; if you do not understand, things are just as they are.

12.2.2013 12:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Typická PHPkovina.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.2.2013 15:39 nyan
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Ti co meli do cineni s MySQL, vi ze odborny vyraz zni "Gotcha" :-D

12.2.2013 12:12 neron
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Tohle není problém jazyka (PHP, Ruby) ale frameworku nad ním. Chyby se objevují všude a jsem si jist, že autoři RoR (obecně všech rožšířených frameworků) jich napáchají méně, než většina patlalů v PHP.

12.2.2013 12:30 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Chyby se objevují všude a jsem si jist, že autoři RoR (obecně všech rožšířených frameworků) jich napáchají méně, než většina patlalů v PHP.

To je sice hezká statistická domněnka, nejspíše i pravdivá, ale jediné, co z ní vyplývá je, že je PHP rozšířené.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.2.2013 13:09 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Odpovědět | Sbalit | Link | Blokovat | Admin

Mé srdce sice bije pro Haskell ale odhalování chyb v důležitých částech opensource nástrojů jsem měl vždy za pozitivní událost.

Když se najde chyba, můžete začít nadávat a posmívat se a nebo se radovat, že to někdo odhalil, vyšetřil a zabezpečil.

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

12.2.2013 14:32 lambdabot
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Tak tak, navic ty chyby jsou bleskove opravene. Kdyz si vzpomenu jak jsem adminoval Win servery a musel delat workaroundy aby je necrackli a modlit se jestli treba za pul roku vydaji hotfix, tak z toho mam nocni mury doted.

Btw. haskell a ghc prekladac jsou genialni a taky na nich ted ujizdim. Co se tyce webovych frameworku, tak jsem si hral s Happstackem (nesnasim DSL proto ne Yesod) a dela se v tom snadno. Clovek ani nemusi komentovat kod a je hned zrejmy co dela. Jediny co mi chybi je vic knihoven pro podporu e-commerce jako jsou platebni systemy, implementace nakupniho kosiku, objednavkovy modul. Chtel jsem na tom postavit jednoduchy e-shop, ale nakonec jsem vymeknul a udelal nad Spree/RoR. Kazdopadne se k tomu hodlam vratit a pokud to nekdo neudela driv, tak to doladim a hodim na Hackage.

12.2.2013 15:16 Michal Karas | skóre: 45 | blog: /dev/random
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Odpovědět | Sbalit | Link | Blokovat | Admin

Did Rails have a major security flaw today? :-)

13.2.2013 10:57 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Talking about music is like dancing to architecture.

13.2.2013 01:46 failer
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails

Odpovědět | Sbalit | Link | Blokovat | Admin

A vedle v nabídkách práce 4x programátor RoR... :-D

Založit nové vlákno • Nahoru