벨 연구소의 사람들이 웹상의 R과 관련된 잠재적 인 보안 문제를 해결하기 위해 노력한 적이있는 NYC에서 만난 일부 회의에서 회상합니다. R 세션이 사용자에게 계속 유지되는 경우 웹 애플리케이션에 코드 삽입의 잠재적 인 위험이있었습니다.웹 솔루션에 RinRuby를 사용하고 있습니까?
이제는 HTML 5와 PHP의 맥락에서 제시되었지만 RinRuby gem과 함께 RoR을 사용할 때 어떻게 달라지는지는 알지 못합니다. 이 보석을 사용할 때 일반적인 보안 함정을 피하기 위해 개발자가 따라야하는 규칙이 있습니까?
R은 일반적으로 보안을 염두에두고 제작되지 않았습니다 (Jeroen Ooms의 arXiv에서이 preprint 참조). flaky parsing of numbers도 악명이 높습니다. 소스 코드에서 판단
(했다 not updated for 2 years()!) RinRuby 사출에서 격리의 종류를 제공하지 않는 것 중 하나 - 마른 eval 지옥의 관문이며, 그들이 말하는 :
따라서, 그것은 당신의 어깨에 따라 가야합니다. OWASP guidelines 입력을주의 깊게 확인, 매개 변수화 및 화이트리스트 작성하여 주입을 피하십시오. 숫자를 파싱 할 때 위에서 언급 한 단점을 염두에두고 입력을 정상적인 간격으로 제한해야합니다.
그냥 내 2 센트 ...
Thanks @DeerHunter. Ooms의 논문 사본을 인쇄했습니다. 그 정보는 제가 찾고있는 정보입니다. 웹용 R 솔루션을 안전하게 배포하는 것이 큰 고통 일 수 있으므로 Ruby 만 사용하게 될 것입니다. – JAponte
보안 취약점은 일반적으로 매우 구체적인 구현 세부 사항입니다. 특정 취약점의 정확한 컨텍스트를보고 번역해야하는지 확인해야합니다. 그러나 * 외부 액세스 권한이있는 시스템은 잠재적으로 구성 가능합니다 *. (* 검색 *을 통해 웹 프레임 워크에 영향을주는 취약점, 패치/수정 된 사항 및 완화 방법을 알 수 있음) – user2246674