Ruby on Rails 要談的 Security 網站安全，主要在 Web application layer 的範圍(這也是最容易被攻擊的部分)，像是 XSS、CSRF、Session Hijacking 跟 Fixation、SQL Injection 等等都是所有 Web 應用程式必須處理的問題。也有一些是 Rails 為了程式方便性而製造出來的問題，像是 Mass assignment、Unscoped finds、Controller Exposing methods 等等。

會講的內容看投影片就可以了，這裡我想特別提一下我的開場跟一個觀念:

我的開場引用了 PHP Security Guide: Overview 介紹什麼是 Security，我很喜歡：

1. 安全性是相對的，不是一個功能。碰過太多客戶要求 “網站要絕對安全，不能被 HACK”，這實在太強人所難了。安全性就跟溫度一樣，相對熱、相對冷。安全性也是相對安全、相對不安全的，而不是像功能說有或沒有。
2. 承上，要越安全，就給花越多成本去做。不過呢，不需要多花什麼錢，就可以很簡單做到足夠地安全。如果要非常非常安全，就會非常非常貴了。所以請考量你的預算。
3. 必須要與使用性(usability)做平衡。很多時候，安全性跟使用性會是衝突的，想要越多安全性，就給犧牲掉一些使用上的方便性。
4. 安全性必須是網站程式設計過程中的一部分，而不是最後才加上去。

而想提的寫程式觀念是我看 Security on Rails 一書裡面介紹的 Fail Close，底下第一段是用 Fail open 觀念寫的程式，第二段是用 Fail close。

# fail open way, it’s bad
def show
  @invoice = Invoice.find(params[:id])
  unless @user.validate_code( @invoice.code )
    redirect_to :action => 'not_authorized'
  end
end

# fail close way
def show
  @invoice = Invoice.find(params[:id])
  if @user.validate_code( @invoice.code )
    redirect_to :action => 'authorized
  else
    redirect_to :action => 'not_authorized'
   end
end

其中的端倪就是，在撰寫驗證安全性程式碼的時候，請用 Fail close 的觀念：”如果條件成功，才允許進行，不然就不允許”。而不是 Fail open：”如果條件不成功，才不允許，不然就允許。”。這個簡單的撰碼觀念，可以減少我們寫出漏洞程式碼的機會。

my point is: “If you use RESTful design, you should NOT use default route.” Why?

For example:


map.resources :users
map.connect ':controller/:action/:id'
map.connect ':controller/:action/:id.:format'


You expect only “PUT /users/1″ will update user data, but because you keep default route, so “GET /users/update/1?user[email]=foobar@example.org” still works!!

In the same way, “GET /users/create” and “GET /users/destroy/1″ works too!! Even worse, the latter can create/update/destroy data without Request Forgery Protection :/ Rails does not check CRSF for HTTP GET.

Conclusion: Remove default route, use purely resource-based routes and named routes for special purpose.

最基本步驟 1.考量壞心的使用者 2.要自我教育安全知識 3.過濾所有來自外部的資料。以下小記幾個重點:

1.Register Globals 造成的影響，建議開發時打開 E_ALL，初始所有變數。

2.介紹XSS攻擊。一定要過濾資料，並使用現成的PHP function來處理( htmlentities(),strip_tags(), utf8_decode() 等)，使用白名單而不用黑名單過濾。建議使用 naming convention 來幫忙區分資料，如 $clean 表示所有處理好的資料。

3.介紹CSRF攻擊。建議使用 post 方法而少用 get。使用 $_POSt 而非 $_REQUEST。接收表單時檢查來自正確的表單頁面(使用token技巧)

4.建議讓一些 library file 放在網站外，或是設定apache 讓 library 目錄不可讀取。而 database access 帳號密碼則建議用 root 另存文字檔，然後在 httpd.conf 中去讀取(還是要小心phpinfo會洩漏)。

5.介紹SQL Injection，用 mysql_escape_string() 來處理，不要用 addslashed() 。

6.介紹 Session Fixation ，建議在重要時刻(更改使用者權限的時候)隨時使用 session_regenerate_id() 換 SESSION ID。

7.預防 Session Hijacking ，使用能consistent的資料(如  HTTP_USER_AGENT)來確定使用者是同一人。

8.介紹Shared Hosts的危險。建議 session data可以放到資料庫而不要放 /tmp。使用 safe_mode來限制 PHP。

太恐怖了… 你可以試著把MD5丟進去…
如果可以被找出來反譯… 趕快換密碼吧!!~~