좀 다른건이지만, Ruby on Rails의 보안 이슈 (Mass Assignment Vulnerability)를 Egor Homakov가 지적한 건이 있었는데. 이게 개발자가 조심하면 피할 수 있는 문제여서 이걸 패치해야하는지 안해야하는지 이야기가 있었습니다. (RTFM 같이 말할 수 있으니까요)
이걸 리포팅한 Egor Homakov가 선택한 방법은 당시에도 레일즈로 운영되고, 심지어 레일즈가 호스팅되던 GitHub을 공격하는거였습니다. 실제로 성공했고요.
그래서 가장 큰 Rails앱도 이 사례에서 자유롭지 않음을 보여주었고요.
개발자를 믿을지 (수동 메모리관리 ) vs 믿지않을지 (GC등) 에서의 선택이었다고 생각하지만, 저는 RTFM 같은 답변이나, 보안에서는 "알고서 잘 할것"을 경계할때 종종 생각 나더라고요
GitHub 초기에 Rails 커뮤니티를 중심으로 네트워크를 구축했어요.
https://read.first1000.co/p/-github
좀 다른건이지만, Ruby on Rails의 보안 이슈 (Mass Assignment Vulnerability)를 Egor Homakov가 지적한 건이 있었는데. 이게 개발자가 조심하면 피할 수 있는 문제여서 이걸 패치해야하는지 안해야하는지 이야기가 있었습니다. (RTFM 같이 말할 수 있으니까요)
이걸 리포팅한 Egor Homakov가 선택한 방법은 당시에도 레일즈로 운영되고, 심지어 레일즈가 호스팅되던 GitHub을 공격하는거였습니다. 실제로 성공했고요.
그래서 가장 큰 Rails앱도 이 사례에서 자유롭지 않음을 보여주었고요.
개발자를 믿을지 (수동 메모리관리 ) vs 믿지않을지 (GC등) 에서의 선택이었다고 생각하지만, 저는 RTFM 같은 답변이나, 보안에서는 "알고서 잘 할것"을 경계할때 종종 생각 나더라고요
https://news.ycombinator.com/item?id=3666564