Portál AbcLinuxu, 1. května 2025 00:36

Další kritická chyba v Ruby on Rails

Thomas Hollstege informuje o další kritické chybě objevené v Ruby on Rails. Zatímco před 14 dny šlo o chybu v XML parseru, tentokrát jde o díru v implementaci JSON, která umožňuje mimo jiné SQL injection.

12.2.2013 10:10 | Jakub Lucký | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

12.2.2013 11:14 R
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Odpovědět | Sbalit | Link | Blokovat | Admin
Hlavne nepouzivajte PHP, lebo je nebezpecne :D
mirec avatar 12.2.2013 11:45 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
PHP je tak bezpečné ako bezpečne dokáže pracovať programátor + neraz som v PHP videl stack overflowy, segmentation fault ... takže okrem toho čo môže pokašlať programátor tam pribudnú diery samotného jazyka.
LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
12.2.2013 12:07 R
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Takze je to uplne rovnake ako u vsetkych ostatnych jazykov.
mirec avatar 12.2.2013 12:11 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Toto sa týka frameworku, nie jazyka samotného. Ako jazyk je PHP svojou bezpečnosťou za absolútne všetkým čo poznám. Kto písal niekedy rozšírenia PHP v C asi pochopil ako je PHP celé stavané. Ak sa na to pozriem ako sa v PHP píšu aplikácie tak to je tiež jedna veľká katastrofa. Niekoľko krát som si zostrelil databázu kvôli zle ukončenej podmienke (PHP niekde vyhodilo že "0" je false a už sa to viezlo, pár neexistujúcich indexov v poli kde sa aplikácia nezastavila ale potichu fungovala ďalej, rozbité DFS stromy ...).
LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
little.owl avatar 12.2.2013 12:34 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Mate pravdu oba.

PHP a Ruby, a jejich frameworky jsou spatne.

Je treba pouzivat Python a treba Django ;-).
A former Red Hat freeloader.
12.2.2013 12:37 ---- | skóre: 33 | blog:
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
PHP je špatný jazyk se špatnými frameworky, Ruby je slušný jazyk, ale RoR stojí za h*vno.. Python je takový průměr, Django je "meh", s Pythonem bych použil třeba Flask.
little.owl avatar 12.2.2013 12:52 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Ruby je slušný jazyk ... Python je takový průměr
Tohle me zajima.

Pred cca osmi lety jsem resil prechod z Perlu na bud Python a nebo Ruby, a Python vyhral.

Od te doby jsem nehledel zpet, Python3 mi vyhovuje a jaka je situace se soucasnym Ruby, ani nevim.

Tedy jaka je tedy situace ted? Proc je Ruby lepsi?

U frameworku moc nevim, stranky nedelam, jen obcas "vizualizuji" data, a na to pouzivam predevsim CherryPy.

A former Red Hat freeloader.
coder avatar 12.2.2013 13:14 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Ruby je lepší protože ... má nejzábavnější podcast o programování - Ruby Rogues.
These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!
little.owl avatar 12.2.2013 13:21 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Stranka, ktera po me chce shockwave-flash nemuze byt dobra z principu!
A former Red Hat freeloader.
12.2.2013 13:39 ---- | skóre: 33 | blog:
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
poznámka, myslel jsem to pouze z pohledu designu jazyka (Ruby se mi líbí jako jazyk o něco víc), nikoliv implementace či podpory frameworků/knihoven (tam by určitě vyhrál Python)
little.owl avatar 12.2.2013 14:39 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
OK, osobni preference.
A former Red Hat freeloader.
Jakub Lucký avatar 12.2.2013 12:44 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
což o to, že

"0" == False

ale mě tuhle totálně uzemnilo (a hlavně mojí aplikaci) že

empty("0") == True

Já vím, že je to zdokumentované, ale je to zdokumentované WTF...
If you understand, things are just as they are; if you do not understand, things are just as they are.
pavlix avatar 12.2.2013 12:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Typická PHPkovina.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
12.2.2013 15:39 nyan
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Ti co meli do cineni s MySQL, vi ze odborny vyraz zni "Gotcha" :-D
12.2.2013 12:12 neron
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Tohle není problém jazyka (PHP, Ruby) ale frameworku nad ním. Chyby se objevují všude a jsem si jist, že autoři RoR (obecně všech rožšířených frameworků) jich napáchají méně, než většina patlalů v PHP.
pavlix avatar 12.2.2013 12:30 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Chyby se objevují všude a jsem si jist, že autoři RoR (obecně všech rožšířených frameworků) jich napáchají méně, než většina patlalů v PHP.
To je sice hezká statistická domněnka, nejspíše i pravdivá, ale jediné, co z ní vyplývá je, že je PHP rozšířené.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
coder avatar 12.2.2013 13:09 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Odpovědět | Sbalit | Link | Blokovat | Admin

Mé srdce sice bije pro Haskell ale odhalování chyb v důležitých částech opensource nástrojů jsem měl vždy za pozitivní událost.

Když se najde chyba, můžete začít nadávat a posmívat se a nebo se radovat, že to někdo odhalil, vyšetřil a zabezpečil.

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!
12.2.2013 14:32 lambdabot
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Tak tak, navic ty chyby jsou bleskove opravene. Kdyz si vzpomenu jak jsem adminoval Win servery a musel delat workaroundy aby je necrackli a modlit se jestli treba za pul roku vydaji hotfix, tak z toho mam nocni mury doted.

Btw. haskell a ghc prekladac jsou genialni a taky na nich ted ujizdim. Co se tyce webovych frameworku, tak jsem si hral s Happstackem (nesnasim DSL proto ne Yesod) a dela se v tom snadno. Clovek ani nemusi komentovat kod a je hned zrejmy co dela. Jediny co mi chybi je vic knihoven pro podporu e-commerce jako jsou platebni systemy, implementace nakupniho kosiku, objednavkovy modul. Chtel jsem na tom postavit jednoduchy e-shop, ale nakonec jsem vymeknul a udelal nad Spree/RoR. Kazdopadne se k tomu hodlam vratit a pokud to nekdo neudela driv, tak to doladim a hodim na Hackage.

12.2.2013 15:16 Michal Karas | skóre: 45 | blog: /dev/random
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Odpovědět | Sbalit | Link | Blokovat | Admin
Did Rails have a major security flaw today? :-)
frEon avatar 13.2.2013 10:57 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
:-)
Talking about music is like dancing to architecture.
13.2.2013 01:46 failer
Rozbalit Rozbalit vše Re: Další kritická chyba v Ruby on Rails
Odpovědět | Sbalit | Link | Blokovat | Admin
A vedle v nabídkách práce 4x programátor RoR... :-D

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.