「Ruby 3」系統の正規表現コンパイラーに情報漏えいの脆弱性、修正版がリリース/v3.0.7、v3.1.5、v3.2.4、v3.3.1への更新を
週刊Railsウォッチ: Rubyでシリアルポートにアクセス、Active Record vs Sequelほか(20240313後編)|TechRacho by BPS株式会社
こんにちは、hachi8833です。 Railsの作者として有名なDHH氏がMacを捨ててWindows+WSL環境に変える宣言をしたのが話題になってるな。AppleのEUにおける一連のふぁっきんな対応にブチ切れたらしい😅 RubiestならばMacという雰囲気があったが、これでどうなることやらw / Committing to Windows https://t.co/IMl32lPwQa — AOE Takashi (@aoetk) March 7, 2024 つっつきボイス:「Macを使わなくなるわけではなくてメインマシンをWindowsにするということみたい」「ところでDHHって最近までエディタにTextMate使っていたのね: 遠い昔にDHHが初めてRailsをお披露目したときの有名な動画↓でTextMateを使っていたこともあって、Macユーザーで使ってた人も割といた印象があ
Leaner見積・Leaner購買のWebアプリケーション+AWS診断 「高い技術力による手動診断」が依頼の決め手に | Flatt Security
株式会社Leaner Technologiesは、「調達のスタンダードを刷新し続ける」をミッションに掲げ、ソーシングDXクラウド「Leaner見積」、購買プロセスを一元管理する購買プラットフォーム「Leaner購買」の開発・提供を行っています。 今回、Leaner Technologiesは、「Leaner購買」「Leaner見積」の一部機能を対象とした「Webアプリケーション診断」と、「Leaner見積」の一部機能を対象とした「AWS診断」を実施しました。診断実施の背景や感想について、同社エンジニアの黒曜さんにお話を伺いました。 開発段階での”セキュリティと開発速度の両立”をサポート 株式会社Leaner Technologies エンジニア 黒曜さん ーー黒曜さんはLeaner Technologiesでどのようなお仕事をされていますか? 技術基盤チームのメンバーとして、AWS環境の構
安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の SQL インジェクション例を見て、Ruby on Rails ではどのように対策できるかを確認しました。 例えば、下記ような $uid, $pass をユーザ入力とし、SQL 文を動的に生成する場合
Rails 7.1 の generates_token_for を触ってみた感想
Leaner Technologies の @corocn です。Rails 7.1 で追加された generates_token_for メソッドを触ってみたので、感想を書きます。 リリースノート Railsガイド 機能の概要 パスワードリセットで使うようなワンタイムトークンを生成することができる便利機能です。 対象のリソースから generates_token_for でトークン を生成し、find_by_token_for で トークンの署名を検証しつつ、データベースからレコードを取得することができます。 トークンの作成 class User < ActiveRecord::Base has_secure_password generates_token_for :password_reset, expires_in: 15.minutes do # Last 10 characte
CVE-2021-33621: HTTP response splitting in CGI
Posted by mame on 22 Nov 2022 We have released the cgi gem version 0.3.5, 0.2.2, and 0.1.0.2 that has a security fix for a HTTP response splitting vulnerability. This vulnerability has been assigned the CVE identifier CVE-2021-33621. Details If an application that generates HTTP responses using the cgi gem with untrusted user input, an attacker can exploit it to inject a malicious HTTP response he
RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供
RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供 Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト「Ruby Shield」を開始すると発表しました。 Today we’re excited to announce Ruby Shield This new initiative in partnership with @ShopifyEng will support open-source and enable us to take on new security-focused projects to bet
Making popular Ruby packages more secure - RubyGems Blog
Attacks on the software supply chain are increasing and our community has not gone unscathed. RubyGems has been affected by supply chain attacks in the past, so it’s important for us to mitigate these risks as much as possible. Recommending stronger security practices like enabling multi-factor authentication (MFA) on popular packages is a first step towards improving the security of the RubyGems
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
RubyGems is not vulnerable to the xz/liblzma backdoor - RubyGems Blog
Add Brakeman by default to new apps · Issue #50501 · rails/rails
Rails 8.0 adds Brakeman
GitHub Compromised by Mass Assignment Vulnerability
GitHub、Mass Assignment利用の脆弱性を突かれる
Rails 7.1 Beta 1: Dockerfiles, BYO Authentication, More Async Queries, and more!