Der Security-Consultant Heiko Webers hat ein Handbuch zur Absicherung von Ruby-on-Rails-Anwendungen veröffentlicht. Das Dokument steht unter einer Creative-Commons-Lizenz.
Das englischsprachige Handbuch erklärt Sessions, deren feindliche Übernahme und vorbeugende Maßnahmen ebenso wie Cross-Site-Scripting und verschiedene Injection-Attacken auf SQL-Statements, Kommandozeilen und HTTP-Header. All das illustriert der Verfasser mit Auszügen aus Ruby-Quelltext. Weitere Themen sind Datei-Uploads, Cross-Site Request Forgery (CSRF) und das Ruby-spezifische Problem des Mass-Assignment, das dem Programmierer zwar Arbeit erspart, aber ein Sicherheitsrisiko darstellt.
Den “Ruby on Rails Security Guide” gibt es in zwei Erscheinungsformen: zum einen als längliche HTML-Seite zum Online-Lesen, zum andern als PDF-E-Book mit 48 Seiten.
Das Werk steht unter einer Attribution-Noncommercial-ShareAlike-Lizenz des Creative-Commons-Projekts. Diese erlaubt unbeschränkte Verbreitung und Nutzung, schließt aber eine kommerzielle Verwertung aus. Bearbeitungen müssen unter den selben Lizenzbedingungen wieder zur Verfügung gestellt werden.
Der Autor Heiko Webers hat sich mit seiner Firma Bauland 42 auf Security-Fragen rund um Ruby-on-Rails-Anwendungen spezialisiert. Zu diesem Thema schreibt er auch in seinem Blog.
