Heute wurde ein weiterer Release-Kandidat für Rails 3.1 veröffentlicht. Wie Rails 3.0.10 und 2.3.14 enthält diese Version Fixes für ein paar Sicherheitslücken die entdeckt wurden.

Heute sind neue Version für Rails 3 und 2 erschienen. Die neue Version behebt ein paar Sicherheitslücken und Nutzer sollten wenn möglich auf Ihre Applikationen aktualisieren.

Rails ist in der Version 3.0.6 als Sicherheitsupdate erschienen. Das geschlossene Sicherheitsleck betrifft einen möglichen Angriff über XSS. Dabei kann bei der Verwendung von auto_link Fremdcode eingeschleust werden.

Dieses Release schlißt eine Sicherheitslücke, die unter bestimmten Umständen von Angreifern ausgenutzt werden kann, um die CSRF Schutzmaßnahmen zu umgehen. Betroffen von diesem Problem sind die Rails-Versionebn 2.1.0 und neuer. Applikationen die den CSRF Schutz nicht verwenden sind nicht betroffen.

Mikel Lindsaar hat eine neue Vesion des mail gems veröffentlicht, dass eine mögliche Sicherheitslücke mit der “sendmail delivery” Methode schließt. Die Lücke ermöglicht unter bestimmten Umständen das Ausführen von Kommandos auf dem betroffenen System. Rails Applikationen welche die “sendmail delivery” Methode nicht verwenden, sind nicht davon betroffen.

Um Attribute eines Datenbank-Objekts zu schützen, kann in Rails auf attr_accessible zurückgegriffen werden. Damit wird verhindert, dass bei Mass Assingments bestimmte Attribute nicht verändert werden. Wenn der Zugriff/die Veränderung auf Basis von Zugriffsrechten erfolgen soll, muss attr_accessible dynamisch gesetzt werden. Wie dies funktioniert, zeigt Ryan in diesem Screencast

Für die aktuellen Rails Versionen der Reihe 2.3 und 3.0 wurde heute ein Securtiy-Update veröffentlicht. Die Schwachstelle kann unter bestimmten Umständen von Angreifern ausgenutzt werden, um eigenen Code in die Applikation einzuschleusen.

Ryan zeigt in diesem Screencast wie Tabellen auf- und absteigend sortiert werden können.

The advantage of using Rails is its agility; it makes developing your web applications easy and fast. The disadvantage is that it can leave holes in your security if you are not aware of common vulnerabilities. It’s a nerve-wracking and unfortunate fact that there are plenty of malicious people lurking on the Web. As a Rails developer, it is essential that you understand how to assess risk and protect your data and your users.

Security on Rails uses established security principles to teach you how to write more secure software, defend your applications from common threats, and encrypt your data. We’ll give you an example of a hacking exploit, and explore how to fix the weaknesses in an application.

Der Ruby1.9 Maintainer Yuki Sonoda (Yugui) hat heute eine neue Ruby-Version veröffentlicht (Ruby 1.9.1-p376). Es behebt mitunter eine Sicherheitslücke für folgende String-Methoden: String#ljust, String#center and String#rjust.

Auf Screencasts.com ist heute ein weiterer Screencast erschienen. In dieser Folge werden sieben Tips beschrieben um die Sicherheit innerhalb Rails-Applikationen zu erhöhen.

Ruby 2.3.4 wurde soeben veröffentlicht. Das Release behebt ein paar Fehler und vor allen Dingen schließt es ein paar gefundne Sicherheitslöcher die entdeckt wurden.

Ruby on Rails bringt bereits von Haus aus einiges in Sachen Sicherheit mit.

Auf der letzten Konferenz des OWASP (Open Web Application Security Project) hat Rails als einer der Frameworks mit den sichersten Bordmitteln abgeschnitten.

Das Rails-Core-Team hat das Release 1.2.6 veröffentlicht. Diese Version schließt eine Session-Sicherheitslücke und weitere kleinere Fehler.

Ein weiteres Maintenance Release Rails 1.2.5 ist veröffentlicht worden.

Über die Videopräsentation
Jeden Tag stehlen kriminelle Hacker zahlreiche Kreditkartennummern, vertrauliche Informationen, Passwörter und alles andere, was sie zu Geld machen können. Sie verunstalten Webseiten, beinträchtigen die Verfügbarkeit von Web Anwendungen oder löschen Daten. Viele Unternehmen sind heute vom Internet abhängig, der Bereich der Sicherheit sollte deshalb nicht ignoriert werden. Viele Entwickler sehen Rails als ein “sicheres” Framework an. Das mag stimmen, da weniger Code geschrieben werden muss, und weniger Code bedeutet einen besseren Überblick. Tatsächlich aber hängen die meisten Sicherheitsprobleme in Web Anwendungen nicht von der eingesetzten Programmiersprache oder dem Framework ab, sondern betreffen Web Anwendungen im Allgemeinen. Dieser Vortrag behandelt die bekanntesten Angriffe, wie Interpreter Injection im Bezug auf Rails (Cross-Site Scripting (XSS), SQL Injection, Logic Injection), verbreitete Konfigurationsfehler, Session- und Benutzerverwaltung, Ajax-Sicherheit, Sicherheitstipps und mehr. Rails hat gute Sicherheits-Features, man muss sie nur einsetzen.