質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.53%

  • Ruby on Rails

    8577questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • Ruby on Rails 4

    2532questions

    Ruby on Rails4はRubyによって書かれたオープンソースのウェブフレームワークです。 Ruby on Railsは「設定より規約」の原則に従っており、効率的に作業を行うために再開発を行う必要をなくしてくれます。

  • セキュリティー

    513questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • Ruby on Rails 3.2.0

    23questions

    Ruby on Railsは、Rubyにより構築されたオープンソースのWebアプリケーションフレームワークである。 version 3.2.0は2012年1月2日にリリースされた。

  • Ruby on Rails 3.1

    9questions

    Ruby on Rails バージョン3.1.0はRuby on Railsの特定のバージョンです。2011年8月30日にリリースされました。

[Rails] rails routesで見れるURLに攻撃の心配

受付中

回答 0

投稿

  • 評価
  • クリップ 1
  • VIEW 502

komachi

score 91

Railsでアプリを作ってます。一般的な、ユーザ認証して記事を投稿するタイプのものです。ユーザ認証はDeviseで作っています。

Twitterで認証するためomniauth-twitterを使用し、Twitterで認証完了した後のコールバックとして以下のコントローラを作っています。

Rails.application.routes.draw do
  devise_for :users, controllers: {:omniauth_callbacks => 'omniauth_callbacks'}

  (略)
end

そして、このコントローラの中では、認証されたユーザのTwitter idとユーザ名を使ってレコードを作成しています。

class OmniauthCallbacksController < Devise::OmniauthCallbacksController
  def twitter
    @user = User.find_for_twitter(request.env['omniauth.auth'].except('extra'))
    (略)
  end
  (略)
end
class User < ApplicationRecord
  devise :registerable, :omniauthable, omniauth_providers: [:twitter, :facebook]
  def self.find_for_twitter(auth)
    find_or_create_by(provider: auth["provider"], twitter_id: auth["uid"]) do |user|
      user.provider = auth["provider"]
      user.twitter_id = auth["uid"]
      user.name = auth["info"]["nickname"]
    end
    (略)
  end
end

ここで疑問に思ったのですが、この関数を悪意の攻撃者が実行できてしまっては、他人のTwitter IDでアカウントが作れてしまうわけなので、大変まずいですよね。

この関数は、Twitterの認証時のコールバック時以外は実行されないという保証はあるのでしょうか。

ちなみに、rails routesでエンドポイントを見てみると、

$ rails routes
  user_twitter_omniauth_callback  GET|POST  /users/auth/twitter/callback(.:format)  omniauth_callbacks#twitter


となっています。

だから、http://localhost:3000/users/auth/twitter/callbackで叩けてしまうということですよね?

これって大丈夫なんでしょうか。教えて偉い人。。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正の依頼

  • ockeghem

    2017/07/25 08:25

    試してみたらどうでしょうか?

    キャンセル

  • moke

    2017/07/25 17:35

    oauth認証ですからねー。

    キャンセル

  • VerfolgungEin

    2017/07/27 22:04

    叩いたところでtwitterから情報を引き出してくれるわけもなし、大丈夫ですよ

    キャンセル

まだ回答がついていません

同じタグがついた質問を見る

  • Ruby on Rails

    8577questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • Ruby on Rails 4

    2532questions

    Ruby on Rails4はRubyによって書かれたオープンソースのウェブフレームワークです。 Ruby on Railsは「設定より規約」の原則に従っており、効率的に作業を行うために再開発を行う必要をなくしてくれます。

  • セキュリティー

    513questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • Ruby on Rails 3.2.0

    23questions

    Ruby on Railsは、Rubyにより構築されたオープンソースのWebアプリケーションフレームワークである。 version 3.2.0は2012年1月2日にリリースされた。

  • Ruby on Rails 3.1

    9questions

    Ruby on Rails バージョン3.1.0はRuby on Railsの特定のバージョンです。2011年8月30日にリリースされました。