Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kaigi on Rails 2023 - ActiveSupport::CurrentAtt...

Sampo Kuokkanen
October 30, 2023
Programming
1
11k

Kaigi on Rails 2023 - ActiveSupport::CurrentAttributes: すっごく便利なのに嫌われ者?!

ActiveSupport::CurrentAttributesを嫌う人がいますが、ものすごく便利、というのは言わざるを得ないです。 みんな大好きなグローバル変数を安全にリクエストの中で使える!本当に便利な優れものです。
なんで嫌われているのかについて話して、注意点など、これまでにあったセキュリティ欠陥(Pumaとrailsの組み合わせで、情報が漏洩されていたものがありまして。。。)の話などをして、みんなでActiveSupport::CurrentAttributesを使おう!とまではいかなくても、本当に使わないといけない時があれば一つの選択肢としてありますよ、ということを伝えたいです。

Sampo Kuokkanen

October 30, 2023
Tweet

Other Decks in Programming

See All in Programming
プロダクト横断分析に役立つ、事前集計しないサマリーテーブル設計
hanon52_
2
450
スモールスタートで始めるためのLambda×モノリス(Lambdalith)
akihisaikeda
2
290
Sharing features among Android applications: experience feedback
jbvincey
0
110
On-the-fly Suggestions of Rewriting Method Deprecations
ohbarye
1
2.7k
Vibe Coding の話をしよう
schroneko
8
2.3k
VitestのIn-Source Testingが便利
taro28
6
2.1k
Making TCPSocket.new "Happy"!
coe401_
1
1.6k
大LLM時代にこの先生きのこるには-ITエンジニア編
fumiyakume
7
3k
Building Scalable Mobile Projects: Fast Builds, High Reusability and Clear Ownership
cyrilmottier
2
290
Make Parsers Compatible Using Automata Learning
makenowjust
1
5.1k
七輪ライブラリー: Claude AI で作る Next.js アプリ
suneo3476
1
110
「”誤った使い方をすることが困難”な設計」で良いコードの基礎を固めよう / phpcon-odawara-2025
taniguhey
0
160

Featured

See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Why Our Code Smells
bkeepers
PRO
336
57k
What's in a price? How to price your products and services
michaelherold
245
12k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.3k
Practical Orchestrator
shlominoach
186
11k
Optimizing for Happiness
mojombo
377
70k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
The World Runs on Bad Software
bkeepers
PRO
67
11k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
52
2.4k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k

Transcript

  1. ActiveSupport::CurrentAttributes: すっごく便利なのに嫌われ者?! Kaigi on Rails 令和五年

  2. 自己紹介 合同会社イービルマーシ ャンズ代表 イービルマーシャンズの 日本支社の色々やってま す!火星について知りた い方は連絡待ってます🤓 日本の開発のお手伝いさ んも 時々Ruby

    も書きたいの で、日本の会社のRails 開 発のお手伝いも。最近は Hotwire にハマっていま す。 KUOKKANEN SAMPO #THANKYOURUBY 日本で暮らしている フィンランド人です。 Ruby, ゴルフ、車が好 きです。ホンダビート 乗りです。
  3. None

  4. なんで今日ActiveSupport::CurrentAttributes について話すねん? RAILS の便利な機能なのにあまり知られていない 目的:発表聞いて、初心者でも実際にRAILS のプロジェクトに 導入できるようになる もしかしたら古いコードでセキュリティ欠陥があるものもあ り、それをCURRENTATTRIBUTES に書き換えたら解消できる

    かもしれない

  5. 今日ActiveSupport::CurrentAttributes について話す内容 1 どうやってRAILS に入った機能? 2 不具合とかあったかな。。。 3 使い方 4

    使わない方がいい?!?!

  6. NSX $variables どこからでもアクセスでき る! ビート CurrentAttributes 1リクエストの間だけ、どこから でもアクセスできる! RUBY のグローバル変数、ホンダの車で例えるなら。。。

  7. None
  8. None

  9. 次のようなコード、あなたのプロジェクトに入ってます か? 入ってたらCurrentAttributes に書き換えましょう!

  10. None

  11. さっきのようなコード。。。 使ってるウェブサーバーによっては大丈夫 例えばUNICORN だと使って大丈夫!リクエスト はメモリースペースを共有していないため スレッド系のPUMA などだと、お掃除しないとヤ バいかも。。。

  12. 問題点をACTIVESTORAGE::CURRENTATTRIBUTES で解決!

  13. DHH 様!

  14. None
  15. None
  16. None

  17. なんでこのような機能がRails に追加されましたか? すでにBASECAMP,GITHUB など大きなアプリケーションでこ のパターンが使われていた DEEPLY NESTED, ネスティングが深いコードで毎回パラメータ ーとして渡さなくてもいい 注意点、アプリケーションで最も重要なエンティティのみに使

    おう

  18. 不具合。。。 問題発生!

  19. None

  20. 使おう!の前にバージョンをご確認 PUMA バージョン5.6.2 以前とRAILS バージョン7.0.2.2 以前で は、レスポンスボディがある一定条件だと閉じられず、これが 情報漏洩を引き起こす可能性があった レスポンスボディが閉じられたら、リセット処理が走るが、閉 じられないのなら、リセット処理も走らず、前のリクエストの

    データが残る可能性が! この問題は、PUMA のバージョン5.6.2 と4.3.11 、および RAILS のバージョン7.02.2 、6.1.4.6 、6.0.4.6 、5.2.6.2 で修 正されています。 修正されたバージョンにアップグレードするか、提供されたミ ドルウェアを使用して問題を回避できます。

  21. Puma の方でどうやって修正されたか?

  22. 自分のコードでもCurrent を使いたい! まずはCURRENT というモデルを作成

  23. None
  24. None
  25. None

  26. テストはどうする?

  27. None
  28. None

  29. リクエストスペックはどう書 く?

  30. None

  31. 何も変更がない!!

  32. 便利だけど、反対意見もある 有害?

  33. Ryan Bigg  ー CurrentAttributes は有害である 1 グローバルステート、 コードがわかりにくく なる 2 コードがテストしにく

    くなる 3 魔法/マジックすぎる 4 明確に意図がわかるコ ードがいい HTTPS://TECHRACHO.BPSINC.JP/HACHI8833/2023_04_26/43810

  34. DHH の例

  35. None

  36. VS

  37. VS

  38. HTTPS://EVILMARTIANS.JP ご視聴ありがとうございました!

  39. Twitter/X で電話かけたい方へ