質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
Ruby on Rails 3.1

Ruby on Rails バージョン3.1.0はRuby on Railsの特定のバージョンです。2011年8月30日にリリースされました。

Ruby on Rails 3.2.0

Ruby on Railsは、Rubyにより構築されたオープンソースのWebアプリケーションフレームワークである。 version 3.2.0は2012年1月2日にリリースされた。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

Ruby on Rails 4

Ruby on Rails4はRubyによって書かれたオープンソースのウェブフレームワークです。 Ruby on Railsは「設定より規約」の原則に従っており、効率的に作業を行うために再開発を行う必要をなくしてくれます。

受付中

[Rails] rails routesで見れるURLに攻撃の心配

komachi
komachi

総合スコア94

Ruby on Rails 3.1

Ruby on Rails バージョン3.1.0はRuby on Railsの特定のバージョンです。2011年8月30日にリリースされました。

Ruby on Rails 3.2.0

Ruby on Railsは、Rubyにより構築されたオープンソースのWebアプリケーションフレームワークである。 version 3.2.0は2012年1月2日にリリースされた。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

Ruby on Rails 4

Ruby on Rails4はRubyによって書かれたオープンソースのウェブフレームワークです。 Ruby on Railsは「設定より規約」の原則に従っており、効率的に作業を行うために再開発を行う必要をなくしてくれます。

0回答

0評価

1クリップ

1444閲覧

投稿2017/07/24 14:15

Railsでアプリを作ってます。一般的な、ユーザ認証して記事を投稿するタイプのものです。ユーザ認証はDeviseで作っています。

Twitterで認証するためomniauth-twitterを使用し、Twitterで認証完了した後のコールバックとして以下のコントローラを作っています。

Ruby

Rails.application.routes.draw do devise_for :users, controllers: {:omniauth_callbacks => 'omniauth_callbacks'} () end

そして、このコントローラの中では、認証されたユーザのTwitter idとユーザ名を使ってレコードを作成しています。

Ruby

class OmniauthCallbacksController < Devise::OmniauthCallbacksController def twitter @user = User.find_for_twitter(request.env['omniauth.auth'].except('extra')) () end () end
class User < ApplicationRecord devise :registerable, :omniauthable, omniauth_providers: [:twitter, :facebook] def self.find_for_twitter(auth) find_or_create_by(provider: auth["provider"], twitter_id: auth["uid"]) do |user| user.provider = auth["provider"] user.twitter_id = auth["uid"] user.name = auth["info"]["nickname"] end (略) end end

ここで疑問に思ったのですが、この関数を悪意の攻撃者が実行できてしまっては、他人のTwitter IDでアカウントが作れてしまうわけなので、大変まずいですよね。

この関数は、Twitterの認証時のコールバック時以外は実行されないという保証はあるのでしょうか。

ちなみに、rails routesでエンドポイントを見てみると、

Shell

$ rails routes user_twitter_omniauth_callback GET|POST /users/auth/twitter/callback(.:format) omniauth_callbacks#twitter

となっています。

だから、http://localhost:3000/users/auth/twitter/callbackで叩けてしまうということですよね?

これって大丈夫なんでしょうか。教えて偉い人。。

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

ockeghem

2017/07/24 23:25

試してみたらどうでしょうか?
moke

2017/07/25 08:35

oauth認証ですからねー。
VerfolgungEin

2017/07/27 13:04

叩いたところでtwitterから情報を引き出してくれるわけもなし、大丈夫ですよ

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

Ruby on Rails 3.1

Ruby on Rails バージョン3.1.0はRuby on Railsの特定のバージョンです。2011年8月30日にリリースされました。

Ruby on Rails 3.2.0

Ruby on Railsは、Rubyにより構築されたオープンソースのWebアプリケーションフレームワークである。 version 3.2.0は2012年1月2日にリリースされた。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

Ruby on Rails 4

Ruby on Rails4はRubyによって書かれたオープンソースのウェブフレームワークです。 Ruby on Railsは「設定より規約」の原則に従っており、効率的に作業を行うために再開発を行う必要をなくしてくれます。