アカウント名:
パスワード:
元の論文に書いてありますが、Ruby on Rails ではコンポーネントの一つである ActiveSupport の MessageEncryptor クラスに脆弱性があります。具体的には ActiveSupport::MessageEncryptor#encrypt と ActiveSupport::MessageEncryptor#decrypt メソッドです。
ただし、このメソッドは安全にデータをやり取りしたい時に使う(安全ではないことがわかったわけですが)ユーティリティであり、フレームワークでは利用していません。サードパーディのプラグインやライブラリで利用されているか、開発しているアプリケーションで自分が使っていなければ影響を受けません。
もし利用していた場合には、代わりに encrypt_and_sign/decrypt_and_verify メソッドを使えば安全です。
また、ActiveSupport::MessageEncryptor は openssl を使っているだけですので、同様の openssl の使い方をしていれば、ActiveSupport::MessageEncryptor を使っていなくとも脆弱性が存在します。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
Ruby on Railsへの影響 (スコア:1, 参考になる)
元の論文に書いてありますが、Ruby on Rails ではコンポーネントの一つである ActiveSupport の MessageEncryptor クラスに脆弱性があります。
具体的には ActiveSupport::MessageEncryptor#encrypt と ActiveSupport::MessageEncryptor#decrypt メソッドです。
ただし、このメソッドは安全にデータをやり取りしたい時に使う(安全ではないことがわかったわけですが)ユーティリティであり、フレームワークでは利用していません。
サードパーディのプラグインやライブラリで利用されているか、
開発しているアプリケーションで自分が使っていなければ影響を受けません。
もし利用していた場合には、代わりに encrypt_and_sign/decrypt_and_verify メソッドを使えば安全です。
また、ActiveSupport::MessageEncryptor は openssl を使っているだけですので、同様の openssl の使い方をしていれば、
ActiveSupport::MessageEncryptor を使っていなくとも脆弱性が存在します。