気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
diary.ssig33.comエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント44件
- 注目コメント
- 新着コメント
prograti
RailsやDeviseは触ったことないのでよく分かりませんが、APIの話に限って言うとAPIに何を出力するかはアプリ実装者の責務であって、フレームワークやライブラリの責務ではない気がします。
ritou
徳丸さんのコメントの意図は「なにも考えずに安全に実装できる機能ではない」「優秀なやつがよく考えて作り込んでもバグが入る」「よく考えた上で枯れたライブラリを使うべき」というぐらいじゃないかと想像してる。
boomerangj
なるほどdevise自体がuserモデルにip保存してるのか知らなかった。何故ログではなくuserに入れるのか(そしてその上でお漏らしするのか)理解できなかったけどこれでスッキリした。
laiso
インターフェイスと責務のギャップが大きいという意味ではdevise 使いにくい部分はあるけどnoteのインシデントはAPIのネストの奥で要らない値を自ら仕込んでたということだろうからdeviseでなくても起きたと思う
oakbow
ReadMeは個人的には逃げな気がするけど、今回のお漏らしが仮にDeviseを無理解に使用したせいだとして、まあAPIの出力のテストなんかは一番最初に普通書くので理由になってないわな。実装者のせい。
nilab
「Devise はログイン時にログインした IP アドレスを User モデルに保存しますが、この User モデルを何も考えずに to_json して公開 API として提供してしまえば、ログインユーザーの IP アドレスが漏洩してしまいます」
spark7
最初の1回はフルスクラッチでやってみて認証の仕組みを理解してねって意味では。理解したら「we assure you Devise will be very pleasant to work with.」とも言ってるし
laiso
インターフェイスと責務のギャップが大きいという意味ではdevise 使いにくい部分はあるけどnoteのインシデントはAPIのネストの奥で要らない値を自ら仕込んでたということだろうからdeviseでなくても起きたと思う
rryu
2012-02-16にBLACKLIST_FOR_SERIALIZATIONで強制的にlast_sign_in_ip等を除外するコードが入ったので知らずに使っても大丈夫になったのだが、noteは2014-04-07サービス開始なので対応していないバージョンなのかも。
pascal256
FirabaseとかAuth0とかIDaaSが最近ならあるけど、そもそもDeviseが使えない選択肢なら別の選択肢ありそうだけどないのかな? Ruby界隈はいろんなライブラリあるイメージだが。
oakbow
ReadMeは個人的には逃げな気がするけど、今回のお漏らしが仮にDeviseを無理解に使用したせいだとして、まあAPIの出力のテストなんかは一番最初に普通書くので理由になってないわな。実装者のせい。
jmatsu
分かり。あと認証方式って要件やセキュリティ事情で増減や制限が発生するし、認証方式のinterfaceまで含んだフレームワークに依存すること自体どうなのかなと思う。管理者画面用とかなら良いと思うけど。
t_f_m
あとで / (20200828追記)"例えば Devise はログイン時にログインした IP アドレスを User モデルに保存しますが、この User モデルを何も考えずに to_json して公開 API として提供してしまえば、ログインユーザーの IP アドレスが漏洩"
greenbow
rails あまり使わないので疑問だったけどやっぱりデフォルトでは出力されないですよね。なのでやっぱり原因が謎。 / 今回の件の問題は認証そのものにあるわけではないので枯れた技術に頼るべきな気はする
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
認証自作、 Rails 、 Devise - Diary
認証自作、 Rails 、 Devise https://ockeghem.pageful.app/post/item/uQFX4oRNbnax82V これを読んで思... 認証自作、 Rails 、 Devise https://ockeghem.pageful.app/post/item/uQFX4oRNbnax82V これを読んで思ったことなんですけど、 Ruby On Rails 界隈では「認証は自作すべきではない、デファクトスタンダードの Devise を使うべき」という考え方が一般にあるように思います。 ではその Devise なんですけど、ドキュメントに以下のようにあります。 Starting with Rails? If you are building your first Rails application, we recommend you do not use Devise. Devise requires a good understanding of the Rails Framework. In such cases, we ad
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
diary.ssig33.com
diary.ssig33.com
diary.ssig33.com
diary.ssig33.com
www.hageatama.org
gendai.media
www.asahi.com
anond.hatelabo.jp
qiita.com/minorun365
qiita.com/Sicut_study
www.itmedia.co.jp
gihyo.jp
techblog.kayac.com
levtech.jp
tech.route06.co.jp
pc.watch.impress.co.jp
55096962.seesaa.net
kumagusuku.info
ayamevip.com
2020/08/16 リンク