質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

質問する

ただいまの
回答率

89.64%

[Rails] rails routesで見れるURLに攻撃の心配

受付中

回答 0

投稿

  • 評価
  • クリップ 1
  • VIEW 748
komachi

komachi

score 97

Railsでアプリを作ってます。一般的な、ユーザ認証して記事を投稿するタイプのものです。ユーザ認証はDeviseで作っています。

Twitterで認証するためomniauth-twitterを使用し、Twitterで認証完了した後のコールバックとして以下のコントローラを作っています。 

Rails.application.routes.draw do
  devise_for :users, controllers: {:omniauth_callbacks => 'omniauth_callbacks'}

  (略)
end

そして、このコントローラの中では、認証されたユーザのTwitter idとユーザ名を使ってレコードを作成しています。 

class OmniauthCallbacksController < Devise::OmniauthCallbacksController
  def twitter
    @user = User.find_for_twitter(request.env['omniauth.auth'].except('extra'))
    (略)
  end
  (略)
end
class User < ApplicationRecord
  devise :registerable, :omniauthable, omniauth_providers: [:twitter, :facebook]
  def self.find_for_twitter(auth)
    find_or_create_by(provider: auth["provider"], twitter_id: auth["uid"]) do |user|
      user.provider = auth["provider"]
      user.twitter_id = auth["uid"]
      user.name = auth["info"]["nickname"]
    end
    (略)
  end
end

ここで疑問に思ったのですが、この関数を悪意の攻撃者が実行できてしまっては、他人のTwitter IDでアカウントが作れてしまうわけなので、大変まずいですよね。

この関数は、Twitterの認証時のコールバック時以外は実行されないという保証はあるのでしょうか。

ちなみに、rails routesでエンドポイントを見てみると、 

$ rails routes
  user_twitter_omniauth_callback  GET|POST  /users/auth/twitter/callback(.:format)  omniauth_callbacks#twitter


となっています。

だから、http://localhost:3000/users/auth/twitter/callbackで叩けてしまうということですよね?

これって大丈夫なんでしょうか。教えて偉い人。。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

more_vert3 件の質問への追記・修正依頼

質問への追記・修正の依頼

  • ockeghem

    ockeghem

    2017/07/25 08:25

    試してみたらどうでしょうか?

    キャンセル

  • moke

    moke

    2017/07/25 17:35

    oauth認証ですからねー。

    キャンセル

  • VerfolgungEin

    VerfolgungEin

    2017/07/27 22:04

    叩いたところでtwitterから情報を引き出してくれるわけもなし、大丈夫ですよ

    キャンセル

まだ回答がついていません

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.64%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる
質問する

関連した質問

同じタグがついた質問を見る

SNSアカウントでログイン

teratailアカウントでログイン

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る