Kaigi on Rails 2023 - ActiveSupport::CurrentAttributes: すっごく便利なのに嫌われ者？！

ActiveSupport::CurrentAttributes: すっごく便利なのに嫌われ者？！ Kaigi on Rails 令和五年

自己紹介合同会社イービルマーシャンズ代表イービルマーシャンズの日本支社の色々やってます！火星について知りたい方は連絡待ってます🤓 日本の開発のお手伝いさんも時々Ruby
も書きたいので、日本の会社のRails 開発のお手伝いも。最近は Hotwire にハマっています。 KUOKKANEN SAMPO #THANKYOURUBY 日本で暮らしているフィンランド人です。 Ruby, ゴルフ、車が好きです。ホンダビート乗りです。

なんで今日ActiveSupport::CurrentAttributes について話すねん？ RAILS の便利な機能なのにあまり知られていない目的：発表聞いて、初心者でも実際にRAILS のプロジェクトに導入できるようになるもしかしたら古いコードでセキュリティ欠陥があるものもあり、それをCURRENTATTRIBUTES に書き換えたら解消できる
かもしれない

今日ActiveSupport::CurrentAttributes について話す内容 1 どうやってRAILS に入った機能？ 2 不具合とかあったかな。。。 3 使い方 4
使わない方がいい？！？！

NSX $variables どこからでもアクセスできる！ビート CurrentAttributes １リクエストの間だけ、どこからでもアクセスできる！ RUBY のグローバル変数、ホンダの車で例えるなら。。。

次のようなコード、あなたのプロジェクトに入ってますか？入ってたらCurrentAttributes に書き換えましょう！

さっきのようなコード。。。使ってるウェブサーバーによっては大丈夫例えばUNICORN だと使って大丈夫！リクエストはメモリースペースを共有していないためスレッド系のPUMA などだと、お掃除しないとヤバいかも。。。

問題点をACTIVESTORAGE::CURRENTATTRIBUTES で解決！

DHH 様！

なんでこのような機能がRails に追加されましたか？すでにBASECAMP,GITHUB など大きなアプリケーションでこのパターンが使われていた DEEPLY NESTED, ネスティングが深いコードで毎回パラメーターとして渡さなくてもいい注意点、アプリケーションで最も重要なエンティティのみに使
おう

不具合。。。問題発生！

使おう！の前にバージョンをご確認 PUMA バージョン5.6.2 以前とRAILS バージョン7.0.2.2 以前では、レスポンスボディがある一定条件だと閉じられず、これが情報漏洩を引き起こす可能性があったレスポンスボディが閉じられたら、リセット処理が走るが、閉じられないのなら、リセット処理も走らず、前のリクエストの
データが残る可能性が！この問題は、PUMA のバージョン5.6.2 と4.3.11 、および RAILS のバージョン7.02.2 、6.1.4.6 、6.0.4.6 、5.2.6.2 で修正されています。修正されたバージョンにアップグレードするか、提供されたミドルウェアを使用して問題を回避できます。

Puma の方でどうやって修正されたか？

自分のコードでもCurrent を使いたい！まずはCURRENT というモデルを作成

テストはどうする？

リクエストスペックはどう書く？

何も変更がない！！

便利だけど、反対意見もある有害？

Ryan Bigg 　ー　CurrentAttributes は有害である 1 グローバルステート、コードがわかりにくくなる 2 コードがテストしにく
くなる 3 魔法／マジックすぎる 4 明確に意図がわかるコードがいい HTTPS://TECHRACHO.BPSINC.JP/HACHI8833/2023_04_26/43810

DHH の例

HTTPS://EVILMARTIANS.JP ご視聴ありがとうございました！

Twitter/X で電話かけたい方へ

Kaigi on Rails 2023 - ActiveSupport::CurrentAtt...