将 RinRuby 用于 Web 解决方案是否安全?

【问题标题】:Is using RinRuby secure for web solutions?将 RinRuby 用于 Web 解决方案是否安全?
【发布时间】:2013-05-30 15:36:20
【问题描述】:

我记得我在纽约参加的一些聚会上,贝尔实验室的人们正在尝试解决 R 在网络上的潜在安全问题。如果 R 会话为用户保持活动状态,则存在将代码注入 Web 应用程序的潜在风险。

现在,这是在 HTML 5 和 PHP 的上下文中提出的,但我看不出将 RoR 与 RinRuby gem 一起使用时会有什么不同。作为开发人员,我们是否应该遵循一套规则来避免使用此 gem 时常见的安全陷阱?

【问题讨论】:

  • 安全漏洞通常是一个非常具体的实现细节。您必须查看特定漏洞的确切上下文以查看它是否/如何转换。但是,任何具有外部访问权限的系统都可能是可组合的。 (搜索应该揭示哪些漏洞影响了所述网络框架,是否已修补/纠正,以及如何缓解这些漏洞。)

标签: ruby-on-rails r security


【解决方案1】:

R 通常在构建时并未考虑到安全性(另请参阅 Jeroen Ooms 在 arXiv 上的 preprint)。 flaky parsing of numbers也臭名昭著。

从源代码(这是not updated for 2 years (!))来看,RinRuby 似乎也没有提供任何与注入的隔离 - 他们说,简单的 eval 是通往地狱的大门 :)

因此,它落在你的肩膀上,例如OWASP guidelines 通过仔细验证、参数化和将输入列入白名单来避免注入。考虑到上述解析数字的怪癖,您必须将输入限制在合理的区间内。

只要我的 2 美分...

【讨论】:

  • 谢谢@DeerHunter。我打印了一份 Ooms 的论文。这几乎就是我正在寻找的信息。我认为安全地为 Web 部署 R 解决方案可能会很痛苦,因此我只会将 Ruby 用于此目的。
猜你喜欢
  • 1970-01-01
  • 2023-02-20
  • 2011-12-24
  • 1970-01-01
  • 2018-02-26
  • 2020-09-23
  • 1970-01-01
  • 2011-02-28
  • 2012-11-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode