Una volta inserita nel file Gemfile e eseguita l’installazione con un

bundle install

sarà sufficiente appendere .random(x) alla nostra query, come da esempio:

Artist.random # un artista a caso
Artist.random(3)  # un array di artisti casuali
Artist.random(1)  # un array contenente solo un artista casuale

Supponiamo di avere un file chiamato bank.yml posizionato all’interno della directory config/, con il seguente contenuto:

development:
  username: 478881
  password: c8e79387bb3e
  signature: 2178614
staging:
  username: 4788c81
  password: c8e7c9387bb3e
  signature: 217c8614
test:
  username: 478b881
  password: c8eb79387bb3e
  signature: 21b78614
production:  
  username: 47a8881
  password: 8ea79387bb3e
  signature: 21a78614

come possiamo vedere, per ogni ambiente abbiamo una tripletta diversa, che verrà usata per gestire l’integrazione con la banca.

Ora creiamo un file, bank.rb, in config/initializers/ con il seguente contenuto:

module Bank
  CONFIG = YAML.load_file(Rails.root.join("config/bank.yml"))[Rails.env]
  USERNAME = CONFIG['username']
  PASSWORD = CONFIG['password']
  SIGNATURE = CONFIG['signature']
end

Riavviando la nostra applicazione avremo a disposizione le seguenti costanti: Bank::USERNAME, Bank::PASSWORD, Bank::SIGNATURE che conterranno i dati presenti nel nostro file di configurazione, filtrati per l’ambiente corrente.

La scelta di utilizzare un modulo per la gestione di questi parametri ci permette di evitare conflitti con altri elementi della nostra applicazione.

Le cose diventano difficili quando su un server sono presenti decine e decine di siti, in quanto il file colpevole dell’invio di spam non è facilmente identificabile.

Con questa piccola modifica si potrà avere un log più dettagliato delle e-mail provenienti dai vari siti, permettendoci di identificare il colpevole.

Per prima cosa creiamo due file col seguente contenuto

/usr/local/bin/sendmail-php

#!/bin/sh

logger -p mail.info sendmail-php: site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, filename=${SCRIPT_FILENAME}, docroot=${DOCUMENT_ROOT}, pwd=${PWD}, uid=${UID}, user=$(whoami)

/usr/sbin/sendmail -t -i $*

/var/www/tpl.php

<?php
putenv("PATH_INFO=". $_SERVER["PATH_INFO"]);
putenv("SCRIPT_NAME=". $_SERVER["SCRIPT_NAME"]);
putenv("SCRIPT_FILENAME=". $_SERVER["SCRIPT_FILENAME"]);
putenv("REMOTE_ADDR=". $_SERVER["REMOTE_ADDR"]);
putenv("HTTP_HOST=". $_SERVER["HTTP_HOST"]);
?>

Impostiamo i permessi:

chmod +x /usr/local/bin/phpsendmail
chmod +rx /var/www/tpl.php

Ora non ci resta che modificare il file php.ini (in Debian si trova in /etc/php5/apache2/php.ini ) modificando/aggiungendo le seguenti righe:

sendmail_path = /usr/local/bin/sendmail-php -t -i
auto_prepend_file = /var/www/tpl.php

Dopo aver riavviato apache, nel file mail.log, troveremo righe di questo tipo:

Mar 30 09:30:25 web1 logger: sendmail-php: site=www.xxxx.it, client=31.184.244.18, script=/includes/.cfwqkt.php, filename=/var/customers/webs/xxx/www/includes/.cfwqkt.php, docroot=/var/customers/webs/xxx/www/, pwd=/var/customers/webs/xxx/www/includes, uid=33, user=www-data

Che ci permetterà di individuare istantaneamente il colpevole

Fonti:

http://serverfault.com/questions/130069/find-the-php-script-thats-sending-mails

http://forum.directadmin.com/showthread.php?t=36311

Brakeman è un Security Vulnerability Scanner per Ruby on Rails.

Dopo averlo installato con un

gem install brakeman

ed eventualmente aver fatto un rehash

rbenv rehash

disporremo del comando brakeman.

Eseguendolo all’interno della directory del proprio progetto in Rails ci verrà fornito l’output di una analisi di sicurezza e vulnerabilità della nostra applicazione.

Un esempio di output è il seguente:

$ brakeman 
Loading scanner...
[Notice] Detected Rails 3 application
Processing application in /Users/claudio/Progetti/xxxxx
Processing configuration...
[Notice] Escaping HTML by default
Processing gems...
Processing initializers...
Processing libs...
Processing routes...          
Processing templates...       
Processing data flow in templates...
Processing models...          
Processing controllers...     
Processing data flow in controllers...
Indexing call sites...        
Running checks in parallel...
 - CheckBasicAuth
 - CheckCrossSiteScripting
 - CheckContentTag
 - CheckDefaultRoutes
 - CheckDigestDoS
 - CheckEscapeFunction
 - CheckEvaluation
 - CheckExecute
 - CheckFileAccess
 - CheckFilterSkipping
 - CheckForgerySetting
 - CheckJRubyXML
 - CheckJSONParsing
 - CheckLinkTo
 - CheckLinkToHref
 - CheckMailTo
 - CheckMassAssignment
 - CheckModelAttributes
 - CheckModelSerialize
 - CheckNestedAttributes
 - CheckQuoteTableName
 - CheckRedirect
 - CheckRender
 - CheckResponseSplitting
 - CheckSafeBufferManipulation
 - CheckSanitizeMethods
 - CheckSelectTag
 - CheckSelectVulnerability
 - CheckSend
 - CheckSendFile
 - CheckSessionSettings
 - CheckSingleQuotes
 - CheckSkipBeforeFilter
 - CheckSQL
 - CheckStripTags
 - CheckSymbolDoS
 - CheckTranslateBug
 - CheckUnsafeReflection
 - CheckValidationRegex
 - CheckWithoutProtection
 - CheckYAMLLoad
 - CheckYAMLParsing
Checks finished, collecting results...
Generating report...

+BRAKEMAN REPORT+

Application path: /Users/claudio/Progetti/xxxxxx
Rails version: 3.2.8
Brakeman version: 1.9.4
Started at 2013-03-27 21:58:02 +0100
Duration: 4.805979 seconds
Checks run: BasicAuth, ContentTag, CrossSiteScripting, DefaultRoutes, DigestDoS, EscapeFunction, Evaluation, Execute, FileAccess, FilterSkipping, ForgerySetting, JRubyXML, JSONParsing, LinkTo, LinkToHref, MailTo, MassAssignment, ModelAttributes, ModelSerialize, NestedAttributes, QuoteTableName, Redirect, Render, ResponseSplitting, SQL, SafeBufferManipulation, SanitizeMethods, SelectTag, SelectVulnerability, Send, SendFile, SessionSettings, SingleQuotes, SkipBeforeFilter, StripTags, SymbolDoS, TranslateBug, UnsafeReflection, ValidationRegex, WithoutProtection, YAMLLoad, YAMLParsing

+SUMMARY+

+-------------------+---------+
| Scanned/Reported  | Total   |
+-------------------+---------+
| Controllers       | 19      |
| Models            | 22      |
| Templates         | 106     |
| Errors            | 0       |
| Security Warnings | 22 (12) |
+-------------------+---------+

+-----------------------+-------+
| Warning Type          | Total |
+-----------------------+-------+
| Attribute Restriction | 1     |
| Default Routes        | 1     |
| Denial of Service     | 1     |
| Mass Assignment       | 10    |
| Redirect              | 2     |
| Remote Code Execution | 2     |
| SQL Injection         | 4     |
| Session Setting       | 1     |
+-----------------------+-------+

+SECURITY WARNINGS+

+------------+---------------------------+---------------------------------------------+-----------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------->>
| Confidence | Class                     | Method                                      | Warning Type          | Message                                                                                                                                                                       >>
+------------+---------------------------+---------------------------------------------+-----------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------->>
| High       |                           |                                             | Default Routes        | All public methods in controllers are available as actions in routes.rb near line 163                                                                                         >>
| High       | ContactController         | submit                                      | Mass Assignment       | Unprotected mass assignment near line 7: ContactRequest.new(+params[:contact_request]+)                                                                                       >>
| High       | CartController            | add                                         | Redirect              | Possible unprotected redirect near line 24: redirect_to(+params[:last_url]+)                                                                                                  >>
| High       | Mobile::ProductController | xxxxxxxxxxxx                                | Redirect              | Possible unprotected redirect near line 28: redirect_to(+params[:back_url]+)                                                                                                  >>
| High       |                           |                                             | Remote Code Execution | json gem version 1.7.5 has a remote code vulnerablity: upgrade to 1.7.7                                                                                                       >>
| High       |                           |                                             | Remote Code Execution | Rails 3.2.8 has a remote code execution vulnerability: upgrade to 3.2.11 or disable XML parsing                                                                               >>
| High       |                           |                                             | SQL Injection         | All versions of Rails before 3.0.18, 3.1.9, and 3.2.10 contain a SQL Injection Vulnerability: CVE-2012-5664; Upgrade to 3.2.10, 3.1.9, 3.0.18                                 >>
| High       |                           |                                             | SQL Injection         | All versions of Rails before 3.0.19, 3.1.10, and 3.2.11 contain a SQL Injection Vulnerability: CVE-2013-0155; Upgrade to 3.2.11, 3.1.10, 3.0.19                               >>
| High       | CartController            | remove                                      | SQL Injection         | Possible SQL injection near line 36: CartLine.where(+params[:line_id]+)                                                                                                       >>
| High       | Mobile::xxxxxxxxxxxx      | index                                       | SQL Injection         | Possible SQL injection near line 10: Product.where("name LIKE '%#{+params[:name]+}%' AND published = ? ", true)                                                               >>
| High       |                           |                                             | Session Setting       | Session secret should not be included in version control near line 7                                                                                                          >>
| Medium     |                           |                                             | Denial of Service     | Rails 3.2.8 has a denial of service vulnerability in ActiveRecord: upgrade to 3.2.13 or patch                                                                                 >>
| Weak       | Article                   | xxxxxxxxxxxxxxxxxxxxxxxxxx                  | Mass Assignment       | Unprotected mass assignment near line 39: Article.new(:code => ((local row)[0]), :title => ((local row)[1]), :sku => ((local row)[2]), :size => ((local row)[3]), :published =>>
| Weak       | CartController            | add                                         | Mass Assignment       | Unprotected mass assignment near line 18: CartLine.create(:cart_id => ((Cart.find_by_customer_id(current_customer.id) or Cart.create(:customer_id => (current_customer.id), :d>>
| Weak       | CartController            | checkout                                    | Mass Assignment       | Unprotected mass assignment near line 49: Order.create(:date => (DateTime.now), :customer_id => (current_customer.id), :total_items => 0, :total_price => 0, :note => (+params>>
| Weak       | CartController            | checkout                                    | Mass Assignment       | Unprotected mass assignment near line 57: OrderLine.create(:order => (+Order.create(:date => (DateTime.now), :customer_id => (current_customer.id), :total_items => 0, :total_>>
| Weak       | Customer                  | Customer.xxxxxxxxxxxxxxxxxx                 | Mass Assignment       | Unprotected mass assignment near line 27: Customer.create(:name => ((local row)[1]), :code => ((local row)[0]), :email => (("" or ((local row)[0] + "@maw.it"))), :agent => (+>>
| Weak       | xxxxxxxxxxxxxxxxxxxxxxxx  | xxxxxxxxxxxxxxxxxxxxxxxxxx.xxxxxxxxxxxxxxxx | Mass Assignment       | Unprotected mass assignment near line 20: CustomerDiscountCategory.create(:customer => (Customer.find_by_code((local row)[0])), :discount_category => ((DiscountCategory.find_>>
| Weak       | Mobile::CartController    | add                                         | Mass Assignment       | Unprotected mass assignment near line 30: CartLine.create(:cart_id => ((Cart.find_by_customer_id(session[:customer_id]) or Cart.create(:customer_id => (session[:customer_id])>>
| Weak       | Mobile::CartController    | checkout                                    | Mass Assignment       | Unprotected mass assignment near line 65: OrderLine.create(:order => (+Order.create(:date => (DateTime.now), :customer_id => (session[:customer_id]), :total_items => 0, :tota>>
| Weak       | xxxxxxxxxxxx              | SpecialPrice.xxxxxxxxxxxxxxxxxx             | Mass Assignment       | Unprotected mass assignment near line 20: SpecialPrice.create(:customer => (Customer.find_by_code((local row)[0])), :product => (+Article.find_by_sku((local row)[1]).product+>>
+------------+---------------------------+---------------------------------------------+-----------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------->>

Model Warnings:

+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+--------->>
| Confidence | Model                                                                                                                                                                                                                                                                 | Warning >>
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+--------->>
| High       | Agent, Article, Browsable, Cart, CartLine, Category, Ckeditor::Asset, Ckeditor::AttachmentFile, Ckeditor::Picture, ContactRequest, Customer, CustomerDiscountCategory, DiscountCategory, News, Order, OrderLine, Page, Product, ProductAttachment, SpecialPrice, Word | Attribut>>
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+--------->>

Dopo una analisi dell’output capiamo cosa effettuare per migliorare la sicurezza del nostro applicativo.

E’ possibile anche generare report in vari formati, come in html o json:

brakeman -o output.html

brakeman -o output.json

Per maggiori informazioni e opzioni consultate la pagina del progetto Brakeman

Tramite una semplice configurazione è possibile integrarlo in modo semplice con Kaminari (la gemma più usata per la paginazione).

Assegnamo al div contenente i nostri elementi l’id ‘item-list’ e agli elementi la classe ‘item’, come da esempio:

<div id="item-list">
    <div class="item"><!-- contenuto --></div>
    <div class="item"><!-- contenuto --></div>
    <div class="item"><!-- contenuto --></div>
</div>

Dopo la chiusura del div con id ‘item-list’ posizioniamo il codice per il pager:

<%= paginate @items %>

Il codice per far funzionare “out-of-the-box” l’infinite scroll è:

<script type="text/javascript">
    jQuery.ias({
        container: '#item-list',
        item: '.box',
        pagination: '.pagination',
        next: '.next a',
        loader: '<img src="/img/loader.gif"/>',
        history: false,
        triggerPageThreshold: 100
    });
</script>

Ricordiamoci, ovviamente, di includere il plugin nell’header

Tutto funziona bene fino a quando non ci si appoggia a capistrano per gestire le fasi di deploy. Ckeditor, infatti, configura paperclip per salvare i file in una directory all’infuori di public/system, directory che capistrano non preserva durante le operazioni di deploy.

Per ovviare a questo problema è necessario apportare delle modifiche alla configurazione creata durante l’installazione di ckeditor, e in particolare ai file:

app/models/ckeditor/attachment_file.rb
app/models/ckeditor/picture.rb

Modificandoli in:

app/models/ckeditor/attachment_file.rb

class Ckeditor::AttachmentFile < Ckeditor::Asset
  has_attached_file :data,
                    :url => "/system/ckeditor_assets/attachments/:id/:filename",
                    :path => ":rails_root/public/system/ckeditor_assets/attachments/:id/:filename"

  validates_attachment_size :data, :less_than => 100.megabytes
  validates_attachment_presence :data

	def url_thumb
	  @url_thumb ||= Ckeditor::Utils.filethumb(filename)
	end
end

app/models/ckeditor/picture.rb

class Ckeditor::Picture < Ckeditor::Asset
  has_attached_file :data,
                    :url  => "/system/ckeditor_assets/pictures/:id/:style_:basename.:extension",
                    :path => ":rails_root/public/system/ckeditor_assets/pictures/:id/:style_:basename.:extension",
	                  :styles => { :content => '800>', :thumb => '118x100#' }

	validates_attachment_size :data, :less_than => 2.megabytes
	validates_attachment_presence :data

	def url_content
	  url(:content)
	end
end

con questa modifica i file verranno caricati all’interno della directory public/system, che verrà preservata da capistrano, evitando di farci perdere immaigni e file ad ogni cap deploy

Step1: Installare XCode

Per prima cosa è necessario installare XCode. Una volta installato, bisogna installare i “Command Line Tools” aprendo XCode, andando in XCode -> Preferences -> Downloads e premendo il tasto “Install” a fianco di “Command Line Tools”.

Una volta scaricati possiamo andare avanti.

Step2: Installare Homebrew

Homebrew è un tool fantastico: permette di installare software utilissimo, soprattutto per chi sviluppa, con un comodo comando.

L’installazione avviene inserendo il seguente comando in un terminale:

ruby -e "$(curl -fsSL https://raw.github.com/mxcl/homebrew/go)"

Una volta terminata l’installazione possiamo controllare che tutto sia andato per il meglio e aggiornare l’elenco dei pacchetti disponibili:

brew update

Ora possiamo passare allo step3.

Step3: Installazione di Ruby

Homebrew ci permette, come dicevo, di installare in modo semplice rbenv e ruby-build:

brew install rbenv ruby-build

Terminata l’installazione, andiamo ad aggiungere le nuove variabili di ambiente tramite il seguente comando:

echo 'eval "$(rbenv init -)"' >> ~/.bash_profile

source ~/.bash_profile

Una volta terminato il processo possiamo installare la versione di ruby che vogliamo, nel mio caso la  ”1.9.3-p392″:

rbenv install  1.9.3-p392

In alternativa è possibile ottenere l’elenco di tutte le versioni di ruby disponibili tramite il comando

rbenv install --list

Al termine dell’installazione è necessario aggiornare le hash e indicare al sistema quale versione utilizzare come predefinita:

rbenv rehash

rbenv global 1.9.3-p392

Step4: Installare le gemme fondamentali

Per avere un sistemam funzionante procediamo all’installazione di:

gem install rails bundle rake

Ora siamo pronti a lavorare

In questo post parlo di lol_dba, una gemma che ha una funzione semplice quanto comoda: analizzare il codice, controllando i modelli e indicandoci gli indici mancanti. L’output che ci restituisce può essere il codice di una migrazione o una query sql per aggiungere gli indici al database.

Il funzionamento è semplice: dopo averla installata tramite il classico

gem install lol_dba

avremo a disposizione due comandi: lol_dba db:find_indexes e lol_dba db:migrate_sql .

Entrambi hanno lo stesso fine, ma varia l’output prodotto: nel primo caso verrà prodotto il contenuto da mettere dentro una migrazione che andremo a generare, come consigliato dall’output del programma, tramite:

rails g migration AddMissingIndexes

nel primo caso verrà prodotta una query sql da eseguire sul database server.

echo 'gem: --no-rdoc --no-ri' >> ~/.gemrc

Sebbene la soluzione funzioni alla perfezione “out-of-the-box” genera delle attese che spesso sono snervanti.

La soluzione per migliorare questa situazione esiste e si può applicare così:

Disabilitiamo l’invio e la ricezione delle traduzioni ad ogni pagina, modificando il file config/initializers/localeapp.rb e aggiungendo, nel blocco, le seguenti righe:

config.sending_environments = []
config.polling_environments = []

In questo modo non verranno più inviate e ricevute le traduzioni in automatico.

Il lavoro di aggiornamento delle traduzioni, infatti, verrà demandato ad un demone che lanceremo col seguente comando:

$ localeapp daemon

che si occuperà di fare il fetch in automatico ad intervalli regolari.