Rails 爆出严重安全漏洞

太可怕了

可怜的家伙 github id 被 ban 了，他身上还有个 github logo 的纹身，结果没了账号 :S

于是他一气之下贴出了方法 在 http://homakov.blogspot.com/2012/03/how-to.html

不过据说 github 已经堵上了这个漏洞。

这个不是Rails的漏洞，而是开发者的问题：忘记保护user_id字段了。

怎么感觉是github 在ssh方面的漏洞啊

这个不是漏洞，而是开发人员在写的时候不够严谨导致：
http://huacnlee.com/blog/rails-attr-protected-or-attr-accesible-fields/

收藏夹第四个, shu.im。

真心不是Rails的bug。

这种做法，其实Rails社区最佳实践以前讨论过。

注意看这段

Egor Homakov

About me
Salut, I am Egor Homakov.
born on 28 apr. 1993 in Russia.

Programming, business, a bit of cooking and dancing, travelling, sometimes straightXedge sometimes vodka-guru. Geek&nerd in the past.
Stay tuned, it is gonna be legen...
just wait

@daqing @huacnless @cngithub

也许可以换个思路来考虑下这个问题。

既然ORM默认生成的SQL不该是SELECT *，同样的，一个框架默认的生成表单在保存的时候也不该设计成这样。问题不在于该不该有这功能，而是默认该是Opt-In的被搞成了Opt-Out。

如果Rails不愿意改，那也只是表明Rails无意向对新手更友好的方向发展。可是每个人都有是新手的时候。

@bhuztez
+1

@bhuztez 我认为ORM提供一种机制就可以了。

@bhuztez 新手会考虑安全性？你想得太多了

这人 93 年生的?

@bhuztez 新手都是用scaffold来生成controller、model、view的，那时候model都还没保护字段那么一说

@ShiningRay 正因为新手不会考虑安全性，所以web framework应该把这些工作默认做好。

github都会犯的rails错误，不知道全世界有多少网站有类似的错误。

这是Rails处理Mass assignment的问题，现在的做法让许多新手容易造成漏洞，Homakov曾经在Rails@Github上提出这个问题，但是被关闭了，理由是：保证App的安全，不是Rails的责任，而是开发者的责任。于是Homakov用另外一种方法来告诉Rails即使是Github这种有许多优秀开发员的地方，都无法避免漏洞。当然之后Github的处理方法引来了不少争议，不过后来他们也及时的补救了。

我总觉得，太偷懒的地方都容易出Bug......

在向Db写入数据的时候，真心感觉自己有洁癖，没有一项项正则检查过，绝不会直接Model.save()

@greenymora github不值得你每个月给他们7美元。

@aidai524 这么赤裸裸的分享电子书的，迟早被清理.....低调.....

对岸rails的牛人xdite在今天的blog中也说了这件事情，可以推荐看看， http://blog.xdite.net/posts/2012/03/05/github-hacked-rails-security/