Archive for the ‘Ruby on Rails’ category

« Older Entries

Rails e mass assignment: como aumentar a segurança dos atributos

November 22nd, 2011

Ao utilizar o scaffold do Rails, ele criará todos os métodos necessários no controller. Depois que o usuário preenche os dados do formulário e envia, é executado o método create do controller. Este método faz algo semelhante ao código abaixo (no exemplo é um CRUD de usuário):

@usuario = Usuario.new(params[:usuario])

Na forma em que o Rails cria o formulário, os atributos do usuário são passados ao controller como um hash. O valor do params acima é algo parecido com isso:

{"authenticity_token"=>"xI1Cy+LvUZzg6FR/1Y/JHcaHVPRyWsHmRII8BhMOr0E=",
 "utf8"=>"?",
 "action"=>"create",
 "controller"=>"usuarios",
 "usuario"=>{"nome"=>"Novo usuario", "email"=>"novo@usuario.com"}}

Além da definição do token de segurança, codificação em utf-8, nome do controller e da action que será executada, o parâmetro usuario contém todos os atributos que foram preenchidos no formulário. Desta forma, é muito simples atribuir os parâmetros preenchidos a um objeto Usuario, seja criando um novo (@usuario = Usuario.new(params[:usuario])) ou editando (@usuario.update_params(params[:usuario])). O Rails chama isso de mass assignment.

O problema desta abordagem é que o usuário poderia facilmente inserir novos parâmetros neste hash, simplesmente adicionando tags input hidden no formulário (usando o Firebug, por exemplo):

<input type="hidden" name="usuario[admin]" id="usuario_admin" value="true" />

Adicionando o código acima, o novo usuário criado receberia o valor true no atributo admin, o que representa uma falha grave na segurança da aplicação.

O Rails oferece um mecanismo para garantir a segurança nestes casos, usando os métodos attr_protected e attr_accessible do ActiveModel. O primeiro permite definir atributos que não podem ser alterados através de mass assignment:

class Usuario
  attr_protected :admin
end

E o attr_accessible é uma forma mais segura: somente os atributos passados para este método poderão ser alterados com mass assignment. Os demais ficam protegidos:

class Usuario
  attr_accessible :nome, :email
end

Obviamente estes dois métodos não podem ser usados simultaneamente, pois um exclui o outro.

Se você quiser atualizar um objeto com mass assignment ignorando a segurança fornecida pelo attr_accessible e pelo attr_protected, basta utilizar o parâmetro without_protection (somente no Rails 3.1):

Usuario.create(
  {:nome => "Novo usuario", :email =>"novo@usuario.com", :admin => true},
  :without_protection => true)

No exemplo acima, o usuário criado terá o atributo admin igual a true, mesmo que tenha sido usado o método attr_protected ou o attr_accessible para evitar a alteração deste atributo.

Outra opção interessante para evitar a alteração de atributos indesejados é o método attr_readonly. Os atributos passados para este método só poderão ser definidos na criação do objeto, e não poderão ser alterados depois. Porém, este método faz parte do ActiveRecord::Base, e não do ActiveModel, ou seja, ele não estará disponível se você usar outro ORM. Há uma issue aberta no Github solicitando que este método seja movido para o ActiveModel.

Link relacionado:

1 comment »

Posted in Programação, Ruby, Ruby on Rails

Tags:

Instant Rails, o ambiente Rails de bolso

June 18th, 2009

Com a proliferação dos pen drives com alguns GB de capacidade e a preços acessíveis, aplicativos que rodam sem necessitar de instalação tornaram-se igualmente populares. Estes aplicativos “portáteis”, mais conhecidos como Portable Apps, podem ser executados diretamente do pen drive, geralmente com todas as funções dos equivalentes instaláveis. Eles são mais comuns em ambiente Windows (o site mais conhecido é o PortableApps, mas existem outros, como o The Portable Freeware Collection), porém também existem Portable Apps para Mac OS X. Até onde eu sei, não existem Portable Apps para Linux, porém, é possível executar os Portable Apps de Windows via Wine.

Como não poderia deixar de ser, existem também muitos ambientes de desenvolvimento portáteis. Talvez o mais conhecido seja o XAMPP, que inclui um servidor Apache com MySQL, PHP e Perl, entre outras ferramentas. Basta descompactar e executar.

Para Ruby on Rails, também existe um ambiente portátil. É o Instant Rails, infelizmente disponível somente para Windows. A exemplo do XAMPP, basta descompactar um arquivo zip para se ter um ambiente Rails totalmente funcional, com Mongrel, Apache e MySQL. É possível, inclusive, instalar RubyGems e plugins Rails normalmente, como num ambiente Rails comum. O pacote inclui ainda o SQLite, PHP, phpMyAdmin, o editor SciTE e o typo, sobre o qual já escrevi aqui no blog.

A principal desvantagem do Instant Rails é que ele está bastante desatualizado – a versão atual, 2.0, é de dezembro de 2007, e inclui as seguintes versões:

  • Ruby 1.8.6
  • Rails 2.0.2
  • Mongrel 1.1.2
  • RubyGems 1.0.1
  • Rake 0.8.1
  • Apache 1.3.33
  • MySQL 5.0.27
  • SQLite 3.5.4
  • PHP 4.3.10
  • SciTE 1.72
  • phpMyAdmin 2.10.0.2

Segundo o wiki do projeto, há uma petição solicitando o upgrade para a versão 1.9.1 do Ruby.

UPDATE: Só agora vi que o Urubatan escreveu sobre o mesmo assunto no blog dele. Só que ele citou o Ruby on Rails Portable, um projeto muito semelhante ao InstantRails, porém um pouco mais atualizado: a versão do Rails atualmente é 2.1.0 (a do Ruby é 1.8.6).

Outro projeto semelhante que encontrei, mas ainda não testei, é o Flash Rails.

2 comments »

Posted in Programação, Ruby on Rails

Tags:

Ruby on Rails search engine

March 3rd, 2009

O Google se tornou, há muito tempo, a ferramenta padrão para qualquer desenvolvedor procurar ajuda para resolver os problemas que encontra. Porém, os resultados retornados nem sempre são satisfatórios e confiáveis. O objetivo do Custom Ruby on Rails search engine é resolver este tipo de problema: ele filtra os resultados de uma busca no Google para exibir somente os resultados que vêm de uma lista específica de sites que o autor considera como confiáveis – além de links “oficiais”, como o site oficial do Rails, o wiki do Rails, o Ruby Forum e a API do Rails, alguns dos blogs mais conhecidos. O autor também aceita sugestões de sites para incluir nos resultados.

A ferramenta pode ser utilizada através do link direto ou através de um bookmarklet, conforme descrito no blog.

3 comments »

Posted in Ruby on Rails

Tags:

Fusão entre Rails e Merb

January 8th, 2009

Recentemente, a equipe de desenvolvimento do Rails, que vem trabalhando na versão 3 do framework, divulgou o merge do Rails com o Merb, outro framework Ruby bastante interessante, que até há pouco tempo, era visto como concorrente do Rails. A fusão já deve ocorrer na versão 3 do Rails. Muitos comentários que eu tenho lido sobre esta notícia foram bastante positivos, já que deve conciliar as melhores características de cada um.

Para mais detalhes, seguem alguns links sobre o assunto:

Aproveitando o assunto, começa na próxima semana um curso online de Merb do Satish Talim. Fiz o curso de Ruby dele e achei muito bom, acredito que este também seja.

No comments »

Posted in Ruby on Rails

Tags:

Nova versão do mod_rails lançada

December 17th, 2008

Recentemente foi lançada a versão 2.0.5 do Phusion Passenger, também conhecido como mod_rails. Esta versão é compatível com Ruby 1.8.7 e Rails 2.3, que nem foi lançado ainda, além de incluir algumas melhorias na estabilidade e correção de bugs. Não testei nenhuma versão do mod_rails depois da primeira, mas pela freqüência de lançamento de novas versões e pelo que tem evoluído a cada versão, parece que tem tudo para se tornar um padrão para deploy de aplicações Rails.

Mais detalhes no blog do Phusion Passenger.

No comments »

Posted in Ruby on Rails

Tags: