Ситуация: на security review нашли риск в теме «authentication vs authorization». Как вы будете разбираться?

Ruby / RailsJuniorБезопасность RailsСитуациябезопасность rails|authentication|ruby|rails|authentication vs authorization

Что хотят услышать интервьюеры:

План действий: сначала воспроизвести проблему, затем собрать факты: logs, request id, SQL, background job id, метрики, stack trace и изменения в релизе.

  • Понять, где используется authentication vs authorization.
  • Изолировать слой: Ruby object, ActiveRecord, controller, job, cache или внешняя интеграция.
  • Сделать минимальный безопасный fix и добавить regression test.

Ответ:

Опасность: исправлять наугад без проверки гипотезы. 

current_user policy(record).update?

Источники

Похожие вопросы

Безопасность Rails Какая типичная ошибка при работе с authentication vs authorization на Ruby/Rails собеседовании? Безопасность Rails Чем authentication vs authorization отличается от auth as one concept и когда что выбирать? Безопасность Rails Чем file upload security отличается от trust filename и когда что выбирать? Безопасность Rails Чем security headers отличается от default response и когда что выбирать?