"Ruby on Rails — это современный высокоуровневый фреймворк веб-разработки. Создатели утверждают, что Ruby on Rails позволит в разы повысить продуктивность веб-разработчиков по сравнению с предыдущими популярными технологиями, такими как PHP. Версия 1.0 вышла в прошлом году и с тех пор Ruby on Rails быстрыми темпами набирает популярность."
Alex Lebedev

Под линком весьма приятная статья с разбором полетов…
Источник: alexlebedev.com/blog/we-are-on-rails

В одном новом проекте, написанном на ruby on rails, была поставлена задача дать возможность пользователю использовать markdown-разметку для форматирования текста. Один из вариантов реализации описан в данной статье.

Итак, найдены очередные уязвимости в Rails. На этот раз их 4:

• CVE-2013-1854 Symbol DoS vulnerability in Active Record
• CVE-2013-1855 XSS vulnerability in sanitize_css in Action Pack
• CVE-2013-1856 XML Parsing Vulnerability affecting JRuby users
• CVE-2013-1857 XSS Vulnerability in the sanitize helper of Ruby on Rails

Уязвимости исправлены в версиях 3.2.13, 3.1.12, и 2.3.18. Настоятельно рекомендуется обновиться.
Подробнее тут.

Существуют библиотеки на различных языках, имеющие общие черты. Это compojure, sinatra, grape, express, koa и подобные.

У них схожий подход к роутингу. Они не накладывают никаких ограничений и не предлагают структуру для организации url. Разработчики в таких условиях склонны не заботиться о структуре и впоследствии получают плохо поддерживаемый код.

Другая общая черта — это однонаправленность. Т.е. определенному запросу соответствует определенный обработчик. Разработчики вынуждены прописывать url строками в шаблонах. Нет возможности указать в виде конструкции языка, какой url сгенерировать. Это приводит к тому, что в представлениях остаются мертвые ссылки, и нет способа найти их, кроме как протыкать все страницы.

Я расскажу, как улучшить поддерживаемость кода в экосистеме Clojure, и покажу, как:

1. организовать url'ы
2. структурировать код обработчиков
3. использовать языковые конструкции для генерации url

Спустя некоторое время с начала разработки вашего проекта, вы можете заметить, что у вас есть несоответствия между ограничениями в базе данных и валидациями в приложении. В данной статье, я объясняю как gem database_consistency поможет вам привести в порядок вашу базу данных.

Если вы пишите тесты для вашего проекта и используете factory_bot для генерации тестовых данных, то представляю вам гем factory_trace, который поможет вам поддерживать ваши factories & traits в актуальном состоянии.

Безопасность на реальных примерах всегда более интересна.

Как тестировщик на проникновение, люблю, когда приходят проекты, построенные на фреймворках быстрой разработки (Rapid development), подобно Ruby-on-Rails, Django, AdonisJs, Express и так далее. Они позволяют очень быстро строить систему за счет того, что бизнес модели прокидываются сразу на все уровни, включая клиентский браузер. Model (модели бизнес объектов в базе) и ViewModel (контракт взаимодействия с клиентами) такие фреймворки часто объединяют вместе, чтобы избежать лишнего перекладывания из Model во ViewModel и обратно, REST сервисы автоматом генерируются. C точки зрения разработки можно просто разработать бизнес модель на сервере, и потом использовать ее сразу на клиенте, что несомненно увеличивает скорость разработки.

Еще раз, я не утверждаю, что вышеупомянутые фреймворки плохие, или с ними что-то не то, у них есть средства и инструменты правильной защиты, просто с ними разработчики делают больше всего ошибок. Такое встречал и на одном ASP.NET MVC проекте, в котором разработчики наделали те же уязвимости, выставляя Models вместо ViewModels…