編集部が選ぶ「みんなに見てほしい」イチオシまとめはこちら
9
ログインして広告を非表示にする
前へ 1 ・・ 5 6 ・・ 27 次へ
yousukezan @yousukezan
@snkm3 ただの間違い指摘だったはずなんですが、なんか違う方向にはっちゃけてますね。
にせれぶ @2celeb
バリデーションはモデルに実装して画面によってparamsの内容を同時に突っ込んで更新したいから Strong Parameters が存在してると思ってるんだけど間違ってる?
yousukezan @yousukezan
長い演説をぶって相手をげんなりさせる戦術は会議では有効なんだけどネットでは途中で読まれなくなるから長文で諦めさせる戦術はあまり有効ではないですね。
yousukezan @yousukezan
@snkm3 セキュリティ界隈では通常運行ですが、あまり状況がわかってないだろうRoR界隈の人とかは大変だろうと思います
にせれぶ @2celeb
php大好きだったら railsの方とか気にせずにPaginateでSQLインジェクションできちゃうcake phpとかをなんとかしたほうがいいのでは?
nappa @nappa
その独自拡張の「params.require(:user).permit(:name, :email).validate(self)」の validate メソッドのソースコードを見てみたい。実装できるの? 実装してもまともに使えるものではないと思うよ?
nappa @nappa
(ヒント: ここでの self は Controller のインスタンス)
yousukezan @yousukezan
セキュリティクラスタのためのRoR勉強会とか必要かもw
一ノ瀬 いろは @ichinose_iroha
自分用のメモ書きさらされても、何言いたいのかさっぱり・・・ とりあえずコントローラーでバリデーションしたいなら Rails 3 でもすれば良いんじゃ無いですかね。 http://t.co/M5GNdNQgvu
nappa @nappa
大変です(>_<) RT @yousukezan: @snkm3 セキュリティ界隈では通常運行ですが、あまり状況がわかってないだろうRoR界隈の人とかは大変だろうと思います
Nakamura @ma_naka
@ikepyon Rails4 が絶賛Hotなかのお方は、セキュリティで有名なのですか?( Devな人だと思ってました…) http://t.co/UQDx9SQMD6
リンク aguuu 大都会岡山でフォローすべきTwitterアカウント 大都会岡山 Advent Calendar
nappa @nappa
そもそも、セキュリティの「ベストプラクティス」ためにわざわざ monkey patching なんて初心者にオススメできない劇薬を持ち出すのですか。それはダメだろう
よしだあつし @yalab
StrongParameter は params の key の有無をチェックするもので、値をいろんな意味で検証するバリデーションとはまったく別モノだよ
よしだあつし @yalab
それでrailsではバリデーションはmodelがする事になってるわけでcontrollerでバリデーションをするのはrailから外れてる。外れても自分のプロジェクトなんだし好きにすればいいけどrailsの恩恵は受けられないし苦労するだけだよ
nappa @nappa
独自拡張して「〜.validate(self)」を書けるようにするためにはモンキーパッチを書く必要があるのですよ! モンキーパッチなんて黒魔術をそんなカジュアルに使ったらダメっ!!
koukiShibata @koukishibata
「バリデーションするとは、バリデーションするメソッドを作ってバリデーションする、ことです」 http://t.co/CgWZ33k0TC
rryu🕴️ @rryu2010
大垣さんの言うバリデーションは純粋にセキュリティ要件によるもので、アプリケーション要件の方は入力ミスのチェックという扱いらしい。どうりで話がかみ合わない訳で… / “Rails4セキュリティ リローデッド(仮)” http://t.co/7vMNq3Vkes
Youhei Kondou @dw3w4at
とりあえずなんとかがきさんは、やはり他人の指摘を (1)聞いていない(2)聞いていても意味わかっていない のどちらかだな
Youhei Kondou @dw3w4at
PHPerとRubyistがお互いになんとかがきさんを押し付け合うそう遠くない将来が今到来
ジョーカー 1007 @joker1007
Strong Parametersはコントローラでのバリデーションを推奨してるのは違うと思う。レールから外れるわけじゃないが。モデルで利用しないパラメーターってどこで使うもの?直接ビューってのはそもそもやるべきじゃないし。 http://t.co/MuVsfEb8W0
徳丸 浩 @ockeghem
よく訓練された大垣ウォッチャー界隈では、その2種類があるらしいことは推測されていたのですが、ようやくはっきりしたところです RT @rryu2010: 大垣さんの言うバリデーションは純粋にセキュリティ要件によるもので、アプリケーション要件の方は入力ミスのチェックという扱い…
suginoy @suginoy
俺がStrong Parametersだ!って人いませんか?
Youhei Kondou @dw3w4at
で話を根本の根本に戻すと、このヒトは心神喪失で責任能力を問えないため、そんなヒトをスピーカーに呼んじゃった岡山Ruby会議のほうが責任を問われる局面だと思うよ。
Yasuo Ohgaki (大垣靖男) @yohgaki
@yousukezan モデルと無関係と宣言してるパラメータをバリデーションするのは気持ち悪く無いですか?個人差はあるだろうけど
TAKAHASHI Kunihiko @kunit
@kenji_s これは大垣さんに対して、PHPを普段やってるならPHPがわにいってろ!的な意味でいってるだけじゃないですかね。そして、CakePHPでそういうことがあったということはしっていて、修正されたかどうかまでどうでもいいんじゃないかと。
Ikeda Masakazu @ikepyon
@ma_naka 一応PHPなんちゃら検定のセキュリティ担当らしいですし、そうなんではないですかねw
Youhei Kondou @dw3w4at
これは自分でも言い過ぎのフレームだと思って敢えて言うが、日本のソフトウェア産業規模の、さらにそのRuby規模の小ささのわりには、地域Ruby会議を乱立させすぎた弊害という一面もあるんじゃないかな?もちろんその他の地域Ruby会議の各位が大変頑張っておられるのも理解できますが。
Youhei Kondou @dw3w4at
@nappa むしろ独自研究じゃない自信があるなら堂々とGithubにでもPullRequestしなはれ、と思いました。
Ikeda Masakazu @ikepyon
胡散臭いコンサルタントの見分け方 1.矢鱈とカタカナ単語を使う 2.説明してるようで実際は単語を繰り返す、名詞を動詞に変えるなど何も説明してない 3.質問しても質問の答えを回答せず、別の話をする
徳丸 浩 @ockeghem
さっきのコメント、証拠を提示します>『入力エラーの処理の為のエラー処理とセキュリティ処理の為のバリデーション(入力チェック)を混同してますね…』 大垣本を読んで「バリデーションはセキュリティ対策」について検討した http://t.co/pOVNaqMxhq
shuji yamamoto @shuji
自己説明的かつ「バリデーションする」が気持悪い。「バリデートするには、メソッドを作る必要がある」では? RT @koukishibata: 「バリデーションするとは、バリデーションするメソッドを作ってバリデーションする、ことです」 http://t.co/w8Xsq0xFHi
willnet @netwillnet
「Strong Parametersは仕組みとしてコントローラで入力パラメータのバリデーションを推奨」推奨してるソースってあるのかな / “Rails4セキュリティ リローデッド(仮)” http://t.co/8IlVvBsQxB
トデス子'\ @todesking
Webアプリケーションのバリデーションの話してるのにSQLインジェクションという単語がが出てくるの全く理解できないのだが〜〜〜
やる気 @Sakunyo
久しぶりにバリデーション祭り
あくあーら @aquarla
例のアレ、バリデーションの定義がよくわからないから全体としてよくわからない文章になってると思ってる・・・
あくあーら @aquarla
バリデーション言うなキャンペーンを発動すべき
h_demon @h_demon
Strong Parametersなんかどうでもいいじゃないか、ほら見ろよこの綺麗な夕日を、な、二人とも。
トデス子'\ @todesking
どこでバリデーションするのが正しいのかについて話したい者は、バリデーションとは何なのか説明してからにしろ。
Toru KAWAMURA @tkawa
某記事、Rails4でStrong Parametersができてコントローラでバリデーションが推奨されるようになった(自分の従来の主張通りになった)と勘違いして喜び勇んで発表したのはいいけど、指摘されて引っ込みがつかなくなったって感じかなと想像
きしだൠ @kis
バリデーションは、利用者の心の中で。
定時 @Spring_MT
バリデーションの議論怖い、、、
トデス子'\ @todesking
バリデーションというのがなんなのかわからないので、まずそこを説明してほしい(「入力ミス」の検出とは違うようだ) http://t.co/NLijDUvmFO
mala @bulkneets
バリデーションとはバリデーションすることです。
そのっつ (Naotoshi Seo) @sonots
"Strong Parametersは仕組みとしてコントローラで入力パラメータのバリデーションを推奨。" ってどこから来たんでしょうね。。。
Youhei Kondou @dw3w4at
@netwillnet 皆無です、彼の脳内以外には(倒置法)
Kazuhiro NISHIYAMA @znz
HTMLのエスケープとしては不要な \ (&#x5c;) のエスケープをベストプラクティスにあげてるのはなぜなのか理由が気になる。 http://t.co/Mte1T3nWS5
前へ 1 ・・ 5 6 ・・ 27 次へ

コメント

Jun Okada @ojunn 2013-07-29 02:43:53
浩光さんがこの話題について発言できなくなっているのが残念。
ログインして広告を非表示にする
ログインして広告を非表示にする