Ruby on Rails » Security

Release Candidate Rails 3.1.0.rc6

derkaan — Wed, 17 Aug 2011 09:49:51 +0000

Heute wurde ein weiterer Release-Kandidat für Rails 3.1 veröffentlicht. Wie Rails 3.0.10 und 2.3.14 enthält diese Version Fixes für ein paar Sicherheitslücken die entdeckt wurden.

Security Update für Rails 3.0.10 und 2.3.14

derkaan — Wed, 17 Aug 2011 09:46:18 +0000

Heute sind neue Version für Rails 3 und 2 erschienen. Die neue Version behebt ein paar Sicherheitslücken und Nutzer sollten wenn möglich auf Ihre Applikationen aktualisieren.

Rails 3.0.6 Sicherheitsupdate veröffentlicht

derkaan — Thu, 07 Apr 2011 12:16:27 +0000

Rails ist in der Version 3.0.6 als Sicherheitsupdate erschienen. Das geschlossene Sicherheitsleck betrifft einen möglichen Angriff über XSS. Dabei kann bei der Verwendung von auto_link Fremdcode eingeschleust werden.

Neue Rails Releases (Sicherheitsupdate)

derkaan — Wed, 09 Feb 2011 07:28:38 +0000

Dieses Release schlißt eine Sicherheitslücke, die unter bestimmten Umständen von Angreifern ausgenutzt werden kann, um die CSRF Schutzmaßnahmen zu umgehen. Betroffen von diesem Problem sind die Rails-Versionebn 2.1.0 und neuer. Applikationen die den CSRF Schutz nicht verwenden sind nicht betroffen.

Security: Sicherheitsupdate für Mail (betrifft Rails)

derkaan — Wed, 26 Jan 2011 10:52:53 +0000

Mikel Lindsaar hat eine neue Vesion des mail gems veröffentlicht, dass eine mögliche Sicherheitslücke mit der "sendmail delivery" Methode schließt. Die Lücke ermöglicht unter bestimmten Umständen das Ausführen von Kommandos auf dem betroffenen System. Rails Applikationen welche die "sendmail delivery" Methode nicht verwenden, sind nicht davon betroffen.

Screencast: attr_accessible dynamisch setzen

derkaan — Mon, 25 Oct 2010 11:58:28 +0000

Um Attribute eines Datenbank-Objekts zu schützen, kann in Rails auf attr_accessible zurückgegriffen werden. Damit wird verhindert, dass bei Mass Assingments bestimmte Attribute nicht verändert werden. Wenn der Zugriff/die Veränderung auf Basis von Zugriffsrechten erfolgen soll, muss attr_accessible dynamisch gesetzt werden. Wie dies funktioniert, zeigt Ryan in diesem Screencast

Securtiy Update Für Rails 2.3.9 und 3.0

derkaan — Fri, 15 Oct 2010 10:37:45 +0000

Für die aktuellen Rails Versionen der Reihe 2.3 und 3.0 wurde heute ein Securtiy-Update veröffentlicht. Die Schwachstelle kann unter bestimmten Umständen von Angreifern ausgenutzt werden, um eigenen Code in die Applikation einzuschleusen.

Screencast: Sortierbare Tabellen

derkaan — Tue, 31 Aug 2010 09:57:31 +0000

Ryan zeigt in diesem Screencast wie Tabellen auf- und absteigend sortiert werden können.

Security on Rails

derkaan — Thu, 10 Dec 2009 07:00:41 +0000

The advantage of using Rails is its agility; it makes developing your web applications easy and fast. The disadvantage is that it can leave holes in your security if you are not aware of common vulnerabilities. It's a nerve-wracking and unfortunate fact that there are plenty of malicious people lurking on the Web. As a Rails developer, it is essential that you understand how to assess risk and protect your data and your users. Security on Rails uses established security principles to teach you how to write more secure software, defend your applications from common threats, and encrypt your data. We'll give you an example of a hacking exploit, and explore how to fix the weaknesses in an application.

Neues Ruby 1.9 Release

derkaan — Tue, 08 Dec 2009 14:57:13 +0000

Der Ruby1.9 Maintainer Yuki Sonoda (Yugui) hat heute eine neue Ruby-Version veröffentlicht (Ruby 1.9.1-p376). Es behebt mitunter eine Sicherheitslücke für folgende String-Methoden: String#ljust, String#center and String#rjust.

Screencast: 7 Sicherheitstips

derkaan — Mon, 07 Sep 2009 09:42:10 +0000

Auf Screencasts.com ist heute ein weiterer Screencast erschienen. In dieser Folge werden sieben Tips beschrieben um die Sicherheit innerhalb Rails-Applikationen zu erhöhen.

Rails 2.3.4 veröffentlicht

derkaan — Fri, 04 Sep 2009 07:49:35 +0000

Ruby 2.3.4 wurde soeben veröffentlicht. Das Release behebt ein paar Fehler und vor allen Dingen schließt es ein paar gefundne Sicherheitslöcher die entdeckt wurden.

Rails Security: Sicher ist sicher

derkaan — Tue, 11 Nov 2008 17:25:35 +0000

Ruby on Rails bringt bereits von Haus aus einiges in Sachen Sicherheit mit.

Auf der letzten Konferenz des OWASP (Open Web Application Security Project) hat Rails als einer der Frameworks mit den sichersten Bordmitteln abgeschnitten.

Rails 1.2.6: Security und Maintenance Release

derkaan — Mon, 26 Nov 2007 07:29:18 +0000

Das Rails-Core-Team hat das Release 1.2.6 veröffentlicht. Diese Version schließt eine Session-Sicherheitslücke und weitere kleinere Fehler.

Rails 1.2.5: Security und maintenance release

derkaan — Tue, 16 Oct 2007 05:32:52 +0000

Ein weiteres Maintenance Release Rails 1.2.5 ist veröffentlicht worden.

Rail-Konf Video: Sicherheit von Ruby on Rails (Heiko Webers)

derkaan — Sat, 08 Sep 2007 10:15:45 +0000

Über die Videopräsentation
Jeden Tag stehlen kriminelle Hacker zahlreiche Kreditkartennummern, vertrauliche Informationen, Passwörter und alles andere, was sie zu Geld machen können. Sie verunstalten Webseiten, beinträchtigen die Verfügbarkeit von Web Anwendungen oder löschen Daten. Viele Unternehmen sind heute vom Internet abhängig, der Bereich der Sicherheit sollte deshalb nicht ignoriert werden. Viele Entwickler sehen Rails als ein "sicheres" Framework an. Das mag stimmen, da weniger Code geschrieben werden muss, und weniger Code bedeutet einen besseren Überblick. Tatsächlich aber hängen die meisten Sicherheitsprobleme in Web Anwendungen nicht von der eingesetzten Programmiersprache oder dem Framework ab, sondern betreffen Web Anwendungen im Allgemeinen. Dieser Vortrag behandelt die bekanntesten Angriffe, wie Interpreter Injection im Bezug auf Rails (Cross-Site Scripting (XSS), SQL Injection, Logic Injection), verbreitete Konfigurationsfehler, Session- und Benutzerverwaltung, Ajax-Sicherheit, Sicherheitstipps und mehr. Rails hat gute Sicherheits-Features, man muss sie nur einsetzen.