Какая типичная ошибка при работе с authentication vs authorization на Ruby/Rails собеседовании?

Ruby / RailsJuniorБезопасность RailsОшибка кандидатабезопасность rails|authentication|ruby|rails|authentication vs authorization

Что хотят услышать интервьюеры:

Частая ошибка: доверять params, отключать CSRF без причины или хранить секреты в коде.

Ответ:

Как избежать: формулируйте ответственность «authentication vs authorization», проверяйте влияние на запросы к БД, callbacks, transactions, security и тестируемость.

На интервью важно: назвать симптом ошибки: N+1, memory bloat, race condition, flaky test, 500 в API, утечка секрета или сломанный deploy. 

current_user policy(record).update?

Источники

Похожие вопросы

Безопасность Rails Ситуация: на security review нашли риск в теме «authentication vs authorization». Как вы будете разбираться? Безопасность Rails Чем authentication vs authorization отличается от auth as one concept и когда что выбирать? Безопасность Rails Чем file upload security отличается от trust filename и когда что выбирать? Безопасность Rails Чем security headers отличается от default response и когда что выбирать?