Rails è veloce, comodo, ma sarà anche sicuro?
Rails è sicuro? In quanti se lo saranno chiesto fino ad ora. Sicuramente la risposta è sì, ma come in ogni programma tutto dipende dallo sviluppatore. Php ad esempio di per se non implementa alcuna misura di sicurezza, ogni implementazione, dalla più piccola alla più complessa è richiesta direttamente all’utente.
Questo aspetto può comportare gravi rischi per chi non sa quello che fa, ma aiuta il professionista a concentrarsi a fondo sui dettagli, senza trascurare nulla.
Rails invece permette di creare sistemi di autenticazione e gestione dei permessi in tempi rapidissimi, con una velocità degna di una formula 1. Ma qual è lo scotto?
Non è che con tutta questa foga, questa velocità di sviluppo, rischiamo di dimenticarci qualcosa? E’ probabile se non facciamo molta attenzione.
Poichè l’attenzione dello sviluppatore Rails viene spostata dal codice vero e proprio ad una sorta di `rails-astrazione` è facile cadere nei tranelli del `semplicismo`.
Lo sviluppatore dovrebbe concentrarsi al massimo per evitare di dimenticare qualche `buco aperto` nel suo codice. O peggio ancora nella vera e propria logica dell’applicazione.
Quando si sviluppa con Ruby on Rails quindi è sempre indicata una specifica ed approfondita revisione del codice perchè è vero che in pochi minuti si fanno funzionare applicativi anche molto complessi, ma come sempre non tutto quello che funziona è sicuro.
2 responses to “Rails è veloce, comodo, ma sarà anche sicuro?”
Leave a Reply
Contribute
WebSource 
…. eh, un po’ vago…. non è che potresti aggiungere un qualche punto critico, chessò, problemi con POST, o errori di sessione? così è un consiglio generale… si dice tutto, non si dice niente 😉
Buono sviluppo!
@Cisco
hai perfettamente ragione! 🙂 è un po’ vago… però invita a riflettere sull’aspetto positivo e l’aspetto negativo dell’elevato livello di astrazione che si sviluppa con rails ed alcuni strumenti che mette a disposizione. Per esempio, potrebbe capitare di usare scaffold, per poi dimenticarsi o ignorare completamente che cosa succede in questa riga di codice…
@user = User.new(params[:user])
Presi dalla foga del lavoro, tempi sempre più stretti, consegne in scadenza, o perchè no, per ignoranza, ci si potrebbe scordare che anche se il nostro form di registrazione non include un campo boolean `active`, qualcuno potrebbe inserirlo, e naturalmente impostato a true. In questo caso l’utente sarà subito attivo, senza bisogno di passare per eventuali fasi di autenticazione. E questo tanto per essere ottimisti: pensa se al posto del campo `active` ci fosse un campo `admin` 🙂
Certo Rails è ineccepibile, dal canto suo. Bisogna conoscere lo strumento che si utilizza per sviluppare. Quindi le responsabilità non sono imputabili al mezzo, ma certo questo può contribuire all’insorgere di “disattenzioni”. Il mio voleva essere un invito a riflettere, per non rischiare di scambiare qualcosa di veloce/semplice con qualcosa di sicuro.
Sia Ruby che Rails hanno delle potenzialità fantastiche a mio parere, e penso che farei fatica a farne a meno oramai. Questo post voleva uscire per un attimo dalle questioni prettamente tecniche per rendere pubblico uno dei principali pericoli che ho avvertito durante le fasi di sviluppo.
Diciamo un invito a riflettere 🙂
Un po’ alla Gigi Marzullo… 🙂