Ruby on Rails – быстрый старт, дырочка в FCKeditor 2.2, GoBarz.com

troubleshooters.com опубликовал довольно не плохую статью (правда на английском) о Ruby on Rails. Терминология, инсталяция, назначение директорий в проекте, основы, файлы, ссылки в проекте, конфигурация базы данных, немного об AJAX.

В FCKeditor 2.2 нашли уязвимость, когда можно на сервер загрузить PHP файл в обход проверки. Интересно, сколько ещё редакторов болеют похожими болезнями. Вообще, из всего что я смотрел (предлагаемые ими решения), реально я только в одном редакторе видел проверку (точнее зачатие механизма на проверку) на то, авторизован ли пользователь (а ведь тоже уязвимость не слабая). У остальных, зная урл, можно было загружать всё что угодно, или только картинки. Но зная, название картинки, и то что она загружена через него, атакующий мог-бы её заменить на свою. По этой причине я закрываю всегда (хорошо, последнее время) именно аутентификацией на уровне сервера (AuthType Basic для Apache). В противном случае приходилось дорабатывать и дописывать проверки.

Эх… я пропустил как-то падение ICQ. Как то гладко у меня прошло всё, хоть и Trillian использую. Предложил скачать обновление и всё. Но подвох был хороший, если судить по шуму в блогах.

Любителям сложных запросов в базу посвящается (в том числе и мне) статья: How To Look At MySQL Joins and More ORDER BY With LIMIT.

PR: “Главный” проект недели: GoBarz.com движется стремительно из стадии в стадию. Из идеи в пре-бету примерно за 10 часов. В реальный сервис его будут превращать немного дольше. Заходите, смотрите, пробуйте, тестируйте – фидбяк мы ждём.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.