岡山Ruby会議02が先週末の土曜日にありました。私は「Rails 4 セキュリティ」をテーマに講演させていただきました。
プレゼン資料だけでは分かりづらいと思いますが、参考までに公開します。
追記:肝心なところで記述漏れがあり、誤解もあったので解説を追加しています。こちらも合わせてご覧ください。
資料の最後の方で必ずチェックすべき資料として紹介している文書のリンクを掲載しておきます。
Rails4のサイトからリンクされているので見た方も多いと思いますが、Rails4: Zombie Outlawsは非常によくできたRails4紹介動画だと思います。Railsを知っていれば理解できる内容になっています。英語でも大丈夫、という方は是非一度見ると良いと思います。
プレゼンを聞いた方は理解いただいたと思いますが、Rails4でも古いモデルでのバリデーションができます。しかし、コントローラーでのバリデーションを行うStrong Parametersを利用することを強くお勧めします。入力のバリデーション(入力制御)はセキュリティ対策の基本中の基本です。Railsがリリースされて以来、モデルでバリデーションすることは構造上の欠陥である、と言っていましたがStrong Parametersを使えばベストプラクティスを実践できます。Rails3も今すぐSrong Parametersは使えます。メジャーバージョンアップなので急いで移行しよう、と考える方も少ないと思います。Rails4への移行の前にStrong Parametersを使うようにするのも良いと思います。
私の会社では「開発者に優しいセキュリティ検査」をモットーにRailsアプリのソースコード検査もし行っています。もしソースコードを検査してほしい、という方は私か会社の方にお問い合わせください。
追記:初めてSlideShareにもアップロードしてみました。
http://www.slideshare.net/yohgaki/rails4-security-24412054
追記:メソッドを追加することを書き漏らしていたので、そこを修正しました。SlideShareは削除後に同じファイル名でアップロードしても違う名前になるようです。
