Ça n'a pas trop de rapport avec le sujet, mais pour les droits j'ai remplacé cancan par pundit, que je trouve moins alambiqué et très propre.
https://github.com/elabs/pundit En ce qui concerne les attributs dans l'URL, difficile de dire si c'est bien ou non sans avoir un cas concret pour en juger. Je les réserve autant que possible en tant que filtre sur une collection de ressources. Le 31 juillet 2014 13:38, Guirec Corbel <[email protected]> a écrit : > Ok merci. C'est ce que je pensais. Je n'aurais pas du faire ce script qui > reconnais "passwd" dans l'url et donne tout les mots de passes... > > Ça ne vous dérange vraiment pas plus que ça de mettre des ID dans les > paramètre de l'url? Au niveau des droits, j'utilise Cancan, de Ryan Bates > (reviens Ryan!). > > > Le 31 juillet 2014 06:42, Florian Dutey <[email protected]> a écrit : > > A moins de le faire expres, aucun risque que ca tarrives avec rails. >> >> Mais c classique en php. Je ne dirai pas pourquoi, je te laisse deviner >> :)))) >> On Jul 31, 2014 6:27 PM, "Olivier El Mekki" <[email protected]> wrote: >> >>> Hello, >>> >>> Ça s'appelle un LFI (pour Local File Inclusion) : >>> https://en.wikipedia.org/wiki/File_inclusion_vulnerability >>> >>> Ça ne devrait pas poser de problème, tu n'y est vulnérable que si tu >>> essaie de loader des fichiers depuis les paramètres de l'url, du genre: >>> >>> require params[ :my_param ] >>> >>> >>> C'était une attaque dangereuse au début de l'histoire de php, quand les >>> sites étaient architecturés de manière à décider quel fichier loader sur >>> la base d'un paramètre, avant qu'on ne fasse de la réécriture d'url et >>> des routes. Du genre : >>> >>> # index.php >>> load( "pages/" . $_GET[ 'page' ] ); >>> >>> >>> Ça ne devrait pas être un problème pour toi. >>> >>> >>> On Thursday, July 31, 2014 12:21:15 PM UTC+2, Guirec Corbel wrote: >>>> >>>> Bonjour, >>>> >>>> Hier soir, un de mes sites a été victime d'une attaque. Le programme >>>> voulant hacker essai d'accéder à "/etc/passwd" en essayant des url de >>>> ce >>>> type : >>>> "/provider_profiles/new?service_id=../../../../../../../../../../etc/passwd%00" >>>> >>>> ou >>>> "/index.php?page=/../../../../../../../../../../etc/passwd%00&artiste_id=12". >>>> >>>> >>>> Avez-vous déjà été victime de ceci? Comment bien le gérer? >>>> >>>> Cette attaque me fait poser une question. J'imagine que ce n'est pas >>>> génial d'utiliser les paramètres du type "artist_id=12". Est-ce un >>>> bonne >>>> pratique d'utiliser un token ou friendly id à chaque fois? >>>> >>>> Bonne journée à tous, >>>> Guirec. >>>> >>> -- >>> -- >>> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" >>> de Google Groups. >>> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse >>> [email protected] >>> Pour résilier votre abonnement envoyez un e-mail à l'adresse >>> [email protected] >>> --- >>> Vous recevez ce message, car vous êtes abonné au groupe Google Groupes >>> "Railsfrance". >>> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le >>> concernant, envoyez un e-mail à l'adresse >>> [email protected]. >>> Pour obtenir davantage d'options, consultez la page >>> https://groups.google.com/d/optout. >>> >> -- >> -- >> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" >> de Google Groups. >> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse >> [email protected] >> Pour résilier votre abonnement envoyez un e-mail à l'adresse >> [email protected] >> --- >> Vous recevez ce message, car vous êtes abonné au groupe Google Groupes >> "Railsfrance". >> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le >> concernant, envoyez un e-mail à l'adresse >> [email protected]. >> Pour obtenir davantage d'options, consultez la page >> https://groups.google.com/d/optout. >> > > -- > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] > --- > Vous recevez ce message, car vous êtes abonné au groupe Google Groupes > "Railsfrance". > Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le > concernant, envoyez un e-mail à l'adresse > [email protected]. > Pour obtenir davantage d'options, consultez la page > https://groups.google.com/d/optout. > -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected] --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, visitez le site https://groups.google.com/d/optout .
