そのパッチをRailsに当てるべきかを考える(翻訳)

こんにちは、hachi8833です。 先週のRailsウォッチで金星を取った「Do I really need to patch my Rails apps? (Understanding CVE-2016-6316)」を翻訳いたしました。 このような手順は、ベテランのフルスタックエンジニアwなら誰しも行っていることですが、ベテランにとっては当たり前のことであるだけに、このように丁寧に手順を解説してくれる記事は貴重です。また、XSS脆弱性のよい解説にもなっています。 なお、翻訳後に文章を最適化していますので、逐次的に原文と訳文が対応しているとは限りません。 また、元記事にはRailsのXSSとセキュリティのチートシートを無料でダウンロードできるフォームもあります。リンクか以下の画像をクリックしてください。 そのパッチをRailsに当てるべきかを考える 原題: Do I really need to patch my Rails apps? (Understanding CVE-2016-6316) 元記事URL: http://ducktypelabs.com/do-i-really-need-to-upgrade-my-rails-apps/ 著者: Sid KrishnanはカナダのトロントでDuck Type Labsというコンサルティングを運営する開発者です。 RubyやRailsで出されるセキュリティ勧告では、Railsアプリケーションを「常に」できるだけ早くアップグレードすることを推奨しています。 残念ながら、修正されるセキュリティ問題についての説明はわかりにくいものが多く、アップグレードが本当に必要かどうかを判断するのは簡単ではありません。 時間や工数が限られているのであれば、内容によってはアップグレードを延期し、壊れたテストの修正に余分な時間をかけない方が判断として優れていることもあります。 注:本記事における「アップグレード」は、「マイナー」アップグレードと「パッチ」のアップグレードを指します(訳注: 「メジャー」アップグレードは含んでいません)。例: Rails 4.2.5.1から4.2.7.1へのアップグレード 本記事では、Railの5.0.0.1/4.2.7.1/3.2.22.3で修正されるCVE-2016―6316を例にとって説明します。本記事のねらいは次のとおりです。 XSS脆弱性の基礎、悪用方法、脆弱性の軽減方法の解説 Rails 5.0.0.1/4.2.7.1で解決されるActionViewのXSS脆弱性[CVE-2016―6316]を題材にした個別の問題の理解の仕方の解説 アップグレードすべきかどうかを自分で判断する方法の解説 XSSの脆弱性について XSSはクロスサイトスクリプティング(cross-site scripting)の略です。 アプリケーションにXSSの脆弱性が潜んでいると、攻撃者は悪質なJavascriptをユーザーのブラウザで実行できます。次のようなJavascriptスニペットを例にとってみましょう。 var i = new … Continue reading そのパッチをRailsに当てるべきかを考える(翻訳)