Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kaigi on Rails 2023 - ActiveSupport::CurrentAttributes: すっごく便利なのに嫌われ者?!

Sampo Kuokkanen
October 30, 2023
Programming
1
4.2k

Kaigi on Rails 2023 - ActiveSupport::CurrentAttributes: すっごく便利なのに嫌われ者?!

ActiveSupport::CurrentAttributesを嫌う人がいますが、ものすごく便利、というのは言わざるを得ないです。 みんな大好きなグローバル変数を安全にリクエストの中で使える!本当に便利な優れものです。
なんで嫌われているのかについて話して、注意点など、これまでにあったセキュリティ欠陥(Pumaとrailsの組み合わせで、情報が漏洩されていたものがありまして。。。)の話などをして、みんなでActiveSupport::CurrentAttributesを使おう!とまではいかなくても、本当に使わないといけない時があれば一つの選択肢としてありますよ、ということを伝えたいです。

Sampo Kuokkanen

October 30, 2023
Tweet

Other Decks in Programming

See All in Programming
AmperとFleetを使ったAndroidアプリ
yoppie
0
280
AppRouter Panel Talk
yosuke_furukawa
PRO
1
500
Git Rebase
bkuhlmann
11
1.6k
Try creating your own orderedmap
kazamori
1
270
SIMD Parallel Programming with the Vector API
josepaumard
0
240
Webアプリをできるだけコードを手書きしないで作ってみる
tomokusaba
2
190
Behind VS Code Extensions for JavaScript / TypeScript Linnting and Formatting
unvalley
6
1.3k
新宿ダンジョンを可視化してみた
satoshi7190
3
420
GraphQLサーバの構成要素を整理する #ハッカー鮨 #tsukijigraphql / graphql server technology selection
izumin5210
4
920
Domain-Driven Transformation
hschwentner
2
1.5k
Three ways to use AI on Android: The Good, the Bad and the Ugly
marxallski
0
110
見た目から始める生産性向上
ikumatadokoro
10
1.5k

Featured

See All Featured
Ruby is Unlike a Banana
tanoku
96
10k
The Language of Interfaces
destraynor
151
23k
What's new in Ruby 2.0
geeforr
337
31k
The Cost Of JavaScript in 2023
addyosmani
21
3.9k
What the flash - Photography Introduction
edds
64
11k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
221
21k
Making Projects Easy
brettharned
109
5.5k
Design by the Numbers
sachag
274
18k
Docker and Python
trallard
35
2.7k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
123
39k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
7k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
15
1.6k

Transcript

  1. ActiveSupport::CurrentAttributes: すっごく便利なのに嫌われ者?! Kaigi on Rails 令和五年

  2. 自己紹介 合同会社イービルマーシ ャンズ代表 イービルマーシャンズの 日本支社の色々やってま す!火星について知りた い方は連絡待ってます🤓 日本の開発のお手伝いさ んも 時々Ruby

    も書きたいの で、日本の会社のRails 開 発のお手伝いも。最近は Hotwire にハマっていま す。 KUOKKANEN SAMPO #THANKYOURUBY 日本で暮らしている フィンランド人です。 Ruby, ゴルフ、車が好 きです。ホンダビート 乗りです。
  3. None

  4. なんで今日ActiveSupport::CurrentAttributes について話すねん? RAILS の便利な機能なのにあまり知られていない 目的:発表聞いて、初心者でも実際にRAILS のプロジェクトに 導入できるようになる もしかしたら古いコードでセキュリティ欠陥があるものもあ り、それをCURRENTATTRIBUTES に書き換えたら解消できる

    かもしれない

  5. 今日ActiveSupport::CurrentAttributes について話す内容 1 どうやってRAILS に入った機能? 2 不具合とかあったかな。。。 3 使い方 4

    使わない方がいい?!?!

  6. NSX $variables どこからでもアクセスでき る! ビート CurrentAttributes 1リクエストの間だけ、どこから でもアクセスできる! RUBY のグローバル変数、ホンダの車で例えるなら。。。

  7. None
  8. None

  9. 次のようなコード、あなたのプロジェクトに入ってます か? 入ってたらCurrentAttributes に書き換えましょう!

  10. None

  11. さっきのようなコード。。。 使ってるウェブサーバーによっては大丈夫 例えばUNICORN だと使って大丈夫!リクエスト はメモリースペースを共有していないため スレッド系のPUMA などだと、お掃除しないとヤ バいかも。。。

  12. 問題点をACTIVESTORAGE::CURRENTATTRIBUTES で解決!

  13. DHH 様!

  14. None
  15. None
  16. None

  17. なんでこのような機能がRails に追加されましたか? すでにBASECAMP,GITHUB など大きなアプリケーションでこ のパターンが使われていた DEEPLY NESTED, ネスティングが深いコードで毎回パラメータ ーとして渡さなくてもいい 注意点、アプリケーションで最も重要なエンティティのみに使

    おう

  18. 不具合。。。 問題発生!

  19. None

  20. 使おう!の前にバージョンをご確認 PUMA バージョン5.6.2 以前とRAILS バージョン7.0.2.2 以前で は、レスポンスボディがある一定条件だと閉じられず、これが 情報漏洩を引き起こす可能性があった レスポンスボディが閉じられたら、リセット処理が走るが、閉 じられないのなら、リセット処理も走らず、前のリクエストの

    データが残る可能性が! この問題は、PUMA のバージョン5.6.2 と4.3.11 、および RAILS のバージョン7.02.2 、6.1.4.6 、6.0.4.6 、5.2.6.2 で修 正されています。 修正されたバージョンにアップグレードするか、提供されたミ ドルウェアを使用して問題を回避できます。

  21. Puma の方でどうやって修正されたか?

  22. 自分のコードでもCurrent を使いたい! まずはCURRENT というモデルを作成

  23. None
  24. None
  25. None

  26. テストはどうする?

  27. None
  28. None

  29. リクエストスペックはどう書 く?

  30. None

  31. 何も変更がない!!

  32. 便利だけど、反対意見もある 有害?

  33. Ryan Bigg  ー CurrentAttributes は有害である 1 グローバルステート、 コードがわかりにくく なる 2 コードがテストしにく

    くなる 3 魔法/マジックすぎる 4 明確に意図がわかるコ ードがいい HTTPS://TECHRACHO.BPSINC.JP/HACHI8833/2023_04_26/43810

  34. DHH の例

  35. None

  36. VS

  37. VS

  38. HTTPS://EVILMARTIANS.JP ご視聴ありがとうございました!

  39. Twitter/X で電話かけたい方へ