12 controlli di sicurezza da eseguire prima del rilascio di una RailsApp

Quando carichi la tua ultima app su un server Web di produzione e la apri al mondo, stai davvero lanciando la tua app alle intemperie, nel bene e nel male.

Se non presti alcuna attenzione alla sicurezza, è probabile che verrai spammato dal piano nefasto di qualche cracker e i tuoi utenti si lamenteranno quando qualcosa non funziona o vengono spammati da pagliacci nigeriani con pentole d'oro per condividere. Ma cosa fare?

12 controlli di sicurezza da eseguire prima del rilascio di una RailsApp

1. Non fidarti degli utenti registrati. (L'autenticazione è una cosa, l'autorizzazione a eseguire determinate attività è un'altra.)
2. Attenzione agli incarichi di massa. (Usa attr_accessible nei tuoi modelli!)
3. Rendi alcuni attributi non modificabili con attr_readonly.
4. Attenzione ai vettori SQL injection. (L'SQL grezzo nel tuo codice è un odore che vale la pena indagare.)
5. Impedisci il caricamento di file eseguibili.
6. Filtra i parametri sensibili dai log.
7. Fai attenzione a CSRF (Cross-Site Request Forgery) e usa protected_from_forgery e csrf_meta_tag.
8. Fai attenzione a XSS (Cross-Site Scripting) e usa l'helper h nelle visualizzazioni (questo è l'impostazione predefinita in Rails 3, per fortuna).
9. Fai attenzione ai dirottamenti della sessione.
10. Evita di utilizzare reindirizzamenti agli URL forniti dall'utente.
11. Evitare di utilizzare parametri o contenuti utente nel metodo send_file.
12. Rendi privati i metodi non ActionController.