Итак, найдены очередные уязвимости в Rails. На этот раз их 4:
Уязвимости исправлены в версиях 3.2.13, 3.1.12, и 2.3.18. Настоятельно рекомендуется обновиться.
Подробнее тут.
Привет читатели. Если вам надоело постоянно устанавливать на новых машинах с разными ОС одно и тоже rails окружение с десятками зависимостей и кучей пакетов, то предлагаю вам ознакомится с интересным решением от rails-core разработчиков. На вашей хост-машине нужно иметь лишь Vagrant и Virtual Box.
Читать полностью »
Бандлер оказался замечательным средством установки и отслеживания джемов, которое так нужно каждому руби проекту настолько, что почти каждый проект использует его. Однако, несмотря на его повсеместность, большинство пользователей не знают о встроенных средствах и помощниках бандлера. В попытке повысить осведомленность (и производительность Руби разработчиков), я собираюсь рассказать вам о них.
В Rails 4.0 по умолчанию будет включена опция config.threadsafe! и в данном уроке вы узнаете о том, что же она все-таки делает, как влияет на production и как вообще стоит вести себя с потоками.
Читать полностью »
Озадачившись однажды вопросом добавление регистрации/входа на сайт через сторонние сервисы начал искать, что уже есть готового, либо описания как это уже кто-то делал. Готовые сервисы были откину сразу, остался вариант реализовывать самому. И тут Google навел на подробную инструкцию. Ознакомившись и вдохновленный тем решением сделал свою модификацию, все работало, был просто счастлив.
Спустя некоторое время решил посмотреть что-же еще есть на том ресурсе интересного, но к своему разочарованию сайт был не доступен. Слава кэшу Яндекса, откуда была выдернута копия того материала. И чтобы он не пропал безвозвратно, решил сделать его перевод и выложить здесь.
И так приступим...
Эта глава будет посвящена известному гему Omniauth. Omniauth это новая система идентификации поверх Rack для мультипровайдерной внешней идентификации. Он будет использован для связи CommunityGuides (прим: в настоящий момент ресурс не доступен и похоже уже не вернется) с Facebook, Google, Twitter и Github. Данная глава покажет как интегрировать все это с существующей идентификацией через Devise.
Читать полностью »
Четвёртая версия фреймворка Ruby on Rails уже не за горами. Хотя официальной даты релиза еще нет, многие ожидают release candidate уже в начале этого года.
Эта версия фреймворка разрабатывается уже год и представляет из себя множество изменений во внутренней архитектуре. Фреймворк эволюционировал и прибрёл более модульный формат, большинство из нововведений раскидано по отдельным джэмам, для того, чтобы основной код оставался чистым. Таким образом, устаревший функционал можно официально не поддерживать, но использовать, если такая необходимость возникнет.
Во время написания этих строк Engine Yard пока что официально не поддерживает Rails 4 в наших облачных продуктах. Однако, если вы хотите таки их опробовать, вы, конечно, же сможете. Однако будьте внимательны — некоторые возможности, особенно live streaming, скорее всего не будут работать.
Если вы столкнётесь со сложностями при попытке развёртывания приложений на Rails 4, то их нужно регистрировать как feature requests, а не как баг, так как мы ещё не закончили интегрирование Rails 4 в наши продукты.
Читать полностью »
Большая и интересная тема маршрутизации в Rails подвигла меня на написание этой статьи. В статье я постараюсь человеческим языком описать основы маршрутизации и ответить на несколько вопросов, которые чаще всего возникают у людей, столкнувшихся со «ШПАЛОЙ» в лице маршрутизации.
Читать полностью »
В моей повседневной жизни возникла потребность использовать веб приложение для управления проектами, Redmine. Так как на своем домашнем ПК я использую ОС Windows XP SP2, предполагал ряд проблем с установкой и настройкой Redmine. В общем то так оно и получилось.
Убив от 5 до 6 часов на поиск документации по установке и исправлении ошибок, у меня все таки получилось увидеть в своем браузере интерфейс Redmine *СЧАСТЬЕ*.
В статье я постараюсь рассказать вам о установке и настройки всех необходимых компонентов для использования Redmine на ОС Windows XP SP2 / Windows 7. Начнем с терминов и названий.
Читать полностью »
Считаю своим долгом поделиться с хабром, если вдруг вы не читаете hacker news.
Да, опять Rails, опять критическая уязвимость. JSON.
Это просто плевок в спину от самого надежного формата: оказывается JSON парсер (дефолтный) поддерживает такой аттрибут как json_class и позволяет инстанцировать любые .json_creatable? объекты. И делает это он без оглядки — просто берет const_get(user_input) который с легкостью приводит к DoS, тк const_get генерирует символы никогда не убираемые Garbarg collector-ом.
А с помощью JSON::GenericObject можно творить еще большие чудеса
x=JSON.parse('{"json_class":"JSON::GenericObject", "foo":"bar"}')
x.foo
=> "bar"
Доброго времени суток, дорогой читатель. Надеюсь, что ты читаешь этот короткий пост за своим утренним кофе, и тебе не пришлось творить экстренный деплой посреди ночи. Иначе — соболезную, и предлагаю тебе обновить свои Ruby on Rails приложения прямо сейчас.
Читать полностью »