El Projecte | Sobre nosaltres | Contribuir | Donacions | Llicència
HOME Els meus cursos Finalitzats
◄ Anterior

Millors Pràctiques de Seguretat

Següent ►

En aquest tema, explorarem les millors pràctiques de seguretat en Ruby per assegurar que les teves aplicacions siguin robustes i segures. La seguretat és un aspecte crític en el desenvolupament de programari, ja que les vulnerabilitats poden ser explotades per comprometre dades sensibles i afectar la integritat del sistema.

Continguts

  1. Introducció a la Seguretat en Ruby
  2. Validació i Sanitització de Dades
  3. Gestió Segura de Contrasenyes
  4. Protecció contra Injeccions SQL
  5. Prevenció de Cross-Site Scripting (XSS)
  6. Protecció contra Cross-Site Request Forgery (CSRF)
  7. Gestió d'Errors i Registre
  8. Consells Addicionals
  9. Exercicis Pràctics

Introducció a la Seguretat en Ruby

La seguretat en el desenvolupament de programari implica protegir les aplicacions contra amenaces i vulnerabilitats. En Ruby, hi ha diverses pràctiques recomanades que poden ajudar a mantenir les teves aplicacions segures.

Validació i Sanitització de Dades

Validació

La validació de dades és crucial per assegurar que les entrades dels usuaris siguin correctes i segures. Utilitza les eines de validació de Ruby per verificar les dades abans de processar-les.

class User
  attr_accessor :email

  def initialize(email)
    self.email = email
  end

  def valid_email?
    !!(email =~ /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i)
  end
end

user = User.new("[email protected]")
puts user.valid_email? # true

Sanitització

La sanitització de dades implica netejar les entrades per eliminar qualsevol contingut potencialment maliciós.

require 'sanitize'

dirty_html = "<script>alert('Hacked!');</script><p>Hello, world!</p>"
clean_html = Sanitize.fragment(dirty_html)

puts clean_html # <p>Hello, world!</p>

Gestió Segura de Contrasenyes

Hashing de Contrasenyes

Mai emmagatzemis contrasenyes en text pla. Utilitza una funció de hash segura com bcrypt per emmagatzemar contrasenyes de manera segura.

require 'bcrypt'

password = BCrypt::Password.create("my_secret_password")
puts password # $2a$12$...

# Verificació de la contrasenya
puts password == "my_secret_password" # true

Protecció contra Injeccions SQL

Utilitza sempre consultes preparades o ORM (Object-Relational Mapping) per evitar injeccions SQL.

require 'sqlite3'

db = SQLite3::Database.new ":memory:"
db.execute "CREATE TABLE users (id INTEGER PRIMARY KEY, name TEXT)"

# Consulta segura amb paràmetres
db.execute "INSERT INTO users (name) VALUES (?)", ["John Doe"]

Prevenció de Cross-Site Scripting (XSS)

Escapa sempre les dades d'usuari abans de mostrar-les en una pàgina web per prevenir XSS.

require 'cgi'

user_input = "<script>alert('XSS');</script>"
escaped_input = CGI.escapeHTML(user_input)

puts escaped_input # &lt;script&gt;alert(&#39;XSS&#39;);&lt;/script&gt;

Protecció contra Cross-Site Request Forgery (CSRF)

Utilitza tokens CSRF per protegir les teves aplicacions contra atacs CSRF.

# Exemple en Rails
<%= form_with(url: "/posts", method: "post") do %>
  <%= hidden_field_tag :authenticity_token, form_authenticity_token %>
  <!-- altres camps del formulari -->
<% end %>

Gestió d'Errors i Registre

Gestió d'Errors

Gestiona els errors de manera adequada per evitar la divulgació d'informació sensible.

begin
  # Codi que pot generar errors
rescue StandardError => e
  puts "S'ha produït un error: #{e.message}"
end

Registre

Registra els esdeveniments importants i els errors per ajudar en la detecció i resolució de problemes de seguretat.

require 'logger'

logger = Logger.new(STDOUT)
logger.info("Això és un missatge d'informació")
logger.error("Això és un missatge d'error")

Consells Addicionals

  • Actualitza Regularment: Mantingues el teu entorn de desenvolupament i les teves dependències actualitzades per evitar vulnerabilitats conegudes.
  • Utilitza HTTPS: Assegura't que les teves aplicacions utilitzin HTTPS per protegir les dades en trànsit.
  • Revisa el Codi: Realitza revisions de codi regulars per identificar i corregir possibles vulnerabilitats.

Exercicis Pràctics

  1. Validació de Correu Electrònic:

    • Escriu una classe User que validi l'adreça de correu electrònic utilitzant una expressió regular.
    • Proporciona exemples de correus electrònics vàlids i no vàlids.

  2. Sanitització de Dades:

    • Escriu una funció que sanititzi una cadena HTML per eliminar qualsevol contingut maliciós.
    • Prova la funció amb diferents entrades.

  3. Hashing de Contrasenyes:

    • Utilitza bcrypt per crear i verificar contrasenyes hash.
    • Escriu un script que demani a l'usuari una contrasenya, la hashi i després verifiqui la contrasenya introduïda.

  4. Protecció contra Injeccions SQL:

    • Escriu un script que utilitzi consultes preparades per inserir i recuperar dades d'una base de dades SQLite.

  5. Prevenció de XSS:

    • Escriu una funció que escapi les dades d'usuari abans de mostrar-les en una pàgina web.
    • Prova la funció amb diferents entrades.

Conclusió

En aquesta secció, hem explorat diverses pràctiques de seguretat que poden ajudar a protegir les teves aplicacions Ruby contra vulnerabilitats comunes. La seguretat és un procés continu, i és important mantenir-se informat sobre les millors pràctiques i actualitzar les teves aplicacions regularment per assegurar-te que estiguin protegides contra les últimes amenaces.

◄ Anterior
Següent ►
El Projecte | Sobre nosaltres | Contribuir | Donacions | Llicència
© Copyright 2024. Tots els drets reservats