L'essentiel de Ruby on Rails

Comprendre comment Rails gère les failles

TESTEZ LINKEDIN LEARNING GRATUITEMENT ET SANS ENGAGEMENT

Tester maintenant Afficher tous les abonnements
Dans cette vidéo, vous verrez de quelle manière Rails parvient à rendre votre site web plus sûr, sans aucune intervention de votre part.
02:30

Transcription

Je vais vous présenter, dans cette vidéo, trois éléments qui font de Ruby on rails un framework plutôt bien sécurisé. Le premier élément, est la méthode Protect from forgery. Peut être avez-vous remarqué ce champ caché au niveau de votre formulaire. Ce champ est généré automatiquement par Ruby on rails et contient une valeur totalement aléatoire. La méthode que vous voyez ici, va valider la présence de ce champ et également valider que ce champ a été généré convenablement par l'application. Cela permet de se prémunir des attaques CSRF, puis ce que lors que l'application recevra une requête http post, elle vérifiera automatiquement la validité de ce champ. Si la requête vient d'un autre site, ce champ ne sera pas présent, et donc, la requête sera rejetée. Un autre élément, est le fait que Ruby on rails rend automatiquement inoffensif du code injecté dans nos champs. Vous voyez comment ici, j'ai essayé d'injecter du code Javascript, du code Ruby, ou encore un lien, ou encore du code SQM. Comme vous le voyez, ce code n'est nullement exécuté par Ruby on rails. J'ai pour l'occasion retiré la méthode Simple format à cet endroit. Simple format est, en effet, un petit peu plus violent et supprime automatiquement du code malveillant et celui de notre base de données. Il fait ceci grâce à la méthode Sanitize. Comme vous le voyez dans cette documentation, il supprime, par exemple, ici, le tag blink. Il est toujours possible d'annuler cette transformation inoffensive du code, mais je vous le déconseille. Enfin, je voulais également vous montrer ce que donne un mot de passe renseigné, une fois notre base de données est transformée en Devise. Vous retrouvez ici l'attribut encrypted password, qui va contenir votre mot de passe crypté. Ce cryptage est fait à l'aide de méthode de hachage, qui sont irréversible, normalement, et qui permettent de générer une chaine aléatoire, comme vous le voyez ici, et qui évite que l'on puisse récupérer le mot de passe ainsi stocké. Il est possible de faire soi-même un tel système de hachage, cependant je vous le déconseille. La raison principale étant que ce genre de système est assez complexe à mettre en place, et il peut du jour au lendemain, s'avérer vulnérable. Je préfère pour ma part, faire confiance à la communauté Ruby on rails qui a l'habitude d'utiliser des gènes comme Devise et qui les mettent à jour dès lors que des vulnérabilités apparaissent. Je vous ai présenté dans cette vidéo, trois éléments qui permettent à Ruby on rails d'être un framework ayant un minimum de sécurité. Il y a, au sein des guides officiels de Ruby, toute une documentation sur comment sécuriser davantage votre application. Je vous conseille de la regarder attentivement et d'essayer de mettre en place ce qui est recommandé au sein de cette documentation.

L'essentiel de Ruby on Rails

Concevez des applications web évolutives et intemporelles avec Ruby on Rails. Installez l’environnement, réalisez un projet de stack overflow, enrichissez-le, etc.

6h08 (85 vidéos)
Aucun commentaire n´est disponible actuellement

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !