rails omniauthにおけるセキュリティについて

twitter、facebookなどのapiを使用してログイン機能を作ったのですが、現在、user.createにおけるパラメータをそのまま代入しています（以下）。これをストロングパラメータにしなければセキュリティ上まずいのではないかと思うのですが、いかがでしょうか。
またその場合、対処法を教えていただきたいです。

session
1def create
2  auth = request.env['omniauth.auth']
3  User.create(uid: auth[:uid] , provider: auth[:provider], 
4            name: auth[:info][:name],password: "password", 
5            password_confirmation: "password",
6            image_url: auth[:info][:image], activated: true)
7end

行動規範の内容に同意します

回答1件

ベストアンサー

これをストロングパラメータにしなければセキュリティ上まずいのではないかと思うのですが、いかがでしょうか。

どうしてそう思われたのでしょうか。

Strong ParameterはMass Assignment脆弱性（User.new(params[:user])のようにすることで、意図していないカラムまでデータが入ってしまう）への対策なので、この例のUser.createでのように、1つ1つカラムを指定してセットする分には、Strong Parameterでフィルタリングするのと何も変わりません。

投稿2019/05/21 07:33

maisumakun

総合スコア145184

maisumakun

2019/05/21 07:35

別件ですが、password: "password"としていると、何かの加減でパスワードログインを開けた時に全員「password」でログインできてしまう、という脆弱性になりますので、Devise.friendly_tokenなどを使って予測不可能なパスワードをセットしておきましょう。

zakky_kun

2019/05/21 10:14

ご回答ありがとうございます。ストロングパラメータで渡していないカラムは、セキュリティをかいくぐって自由に変えられてしまうと思っていました。私自身、rails tutorial をやりましたが、セキュリティに関する理解があまりできていなく、このような質問をさせていただきました。passwordの件も承知しました。ご丁寧にありがとうございました！

行動規範の内容に同意します