我在不受信任的网络(咖啡店、邻居的开放式wifi、DEFCON)上进行了大量的Web开发，当随机的、肯定有错误的软件(比如我正在开发的Rails应用程序)在0.0上绑定(bind)一个端口时，我会感到紧张.0.0并开始接受所有来者的请求。我知道我可以使用-b选项指定绑定(bind)到服务器的地址，但我想全局更改默认值，以便它始终以这种方式运行，除非我另有说明。当然我也可以运行某种会阻止连接的防火墙，但最好不要一开始就监听。是否有“.railsrc”文件或类似文件——至少是每个项目的设置文件，但最好是一些全局设置文件——我可以使用它来强制服务器默认仅绑定(bind)到127.0.0.1？

Ruby'ssafemode不允许通过潜在危险的操作使用受污染的数据。它的级别各不相同，0表示禁用，然后1-4表示安全级别。启用安全模式时可能存在哪些漏洞？您知道在启用安全模式时发给ruby​​程序的任何CVE编号吗？什么CWEViolations(或cwe系列)是否可以启用安全模式？ 最佳答案 所有应用程序级别的漏洞都完全不受$SAFE级别的影响。不通过“不安全操作”的注入(inject)攻击，例如跨站点脚本和SQL注入(inject)。这或多或少包括Web应用程序的每个漏洞类别，可能除了本地和远程文件包含。查看OWASPTop1

我正在使用RubyonRails3，我想覆盖(可能在模型文件中)as_json或to_json方法以respond_to不包含某些信息的HTTP请求。在我的帐户模型中我有defas_json(options={})super(:except=>[:password])end在我的Controller中我有format.json{render:json=>@account,:status=>200}例如，当我向/account/1.json发出请求时，我还返回了出于安全原因我不想要的密码属性。那么，如何防止包含指定信息？我能做到，而且行得通format.json{render:json=

Ruby开发人员如何及时了解ruby​​和ruby​​gem安全警报和更新？。我今天发现了这件事:https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately并想知道开发人员通常如何跟上这些类型的警报。提前致谢。 最佳答案 对于Rails，只需在Railssecuritygoogle组中注册电子

我知道将不受信任的对象标记为受污染的可能性，但根本目的是什么，我为什么要这样做？ 最佳答案 将污点作为一种安全预防措施进行跟踪，以确保不受信任的数据不会被错误地用于计算、交易或解释为代码。通过内置语言功能跟踪污点比通过编码约定或依赖代码审查跟踪更清晰、更可靠。例如，来自用户的输入通常可以被认为是“不可信的”，直到它被适本地清理以插入到数据库中。通过将输入标记为受污染，Ruby可确保进行令人满意的清理并防止潜在的SQL注入(inject)攻击。有关演示如何在没有此类Perl和Ruby模块的情况下跟踪污点的“古老”(2005年)编码实践

我需要编写一个简单的工具来加密/解密文件。我想最好的方法是使用OpenSSL:生成key:opensslrand-base642048>secret_key加密文件:opensslaes-256-cbc-a-e-infile-outfile.enc-ksecret_key解密文件:opensslaes-256-cbc-d-infile.enc-outfile-ksecret_key有没有一种简单的方法可以在Ruby中实现它？有更好的方法吗？也许使用PGP？ 最佳答案 Ruby的OpenSSL是OpenSSL本身的一个薄包装器，提供了

晚上好。我有个问题。我正在使用has_secure_password并且导致我有一个错误undefinedmethodpassword_digest='for#`,但是我没有这个方法!!请帮忙，不知道该怎么办。我阅读了如何解决此问题，但对我没有帮助(这是我的用户模型。如果可以，请帮忙。classUser:createbefore_create{generate_token(:auth_token)}defsend_password_resetgenerate_token(:password_reset_token)self.password_reset_sent_at=Time.zon

据我所知，为了使加密密码更安全，我会生成一个随机数(盐)并将其与散列密码一起存储在用户记录中(例如。)我会连接盐使用明文密码，然后对其进行加密(哈希)。生成的哈希将更难破解。将重复此过程以验证密码。查看has_secure_password和bcrypt_ruby(披露:我不是安全专家)我不知道这是如何完成的，因为用户记录中唯一存储的是散列密码。盐在哪里？ 最佳答案 密码哈希和盐保存在数据库中名为password_digest的字符串列中。看这个question. 关于ruby-on-r

对于XMPPinterfacefortheStackOverflowchat，我目前takingtheHTMLofthechatmessagesandconvertingtovalidXML，并将其设置为htmlXMPP的子元素message目的。在我的MacOSXjabber客户端中，它工作得很好!这意味着当SO聊天中的用户发布单框图像时，该图像将显示在我的XMPP客户端(OSX的Adium)中:但是我刚刚将Adium更新到最新版本并且显然是theyconsideredwhatIwasdoingtobeasecurityholeandagainstXMPPspecs,andchang

我正在构建一个守护进程来帮助我管理我的服务器。Webmin工作正常，就像打开服务器的shell一样，但我更希望能够从我设计的UI控制服务器操作，并向最终用户公开一些功能。守护进程将从队列中获取Action并执行它们。但是，由于我将接受用户的输入，我想确保不允许他们将危险的东西注入(inject)到特权shell命令中。这里有一个片段可以说明我的问题:defperformsystem"usermod-p#{@options['shadow']}#{@options['username']}"end解释更多的要点:https://gist.github.com/773292我不确定典型的输