Hola, leo en http://www.rorsecurity.info/, que existe un fallo de
seguridad severo en resftful_authenticated, en concreto en el modulo de
activación. con el que puedes adquirir credenciales de cualquier usuario
o anonimas, ya que el active method del controlar acepta una cadena
vacia:
http://localhost:3006/user/activate or
http://localhost:3006/activate/?activation_code=
Generando el siguiente SQL:
SELECT * FROM users WHERE (users.activation_code IS NULL) LIMIT 1
Solucion:
Se ha liberado una actualización, pero una solucion está en cambiar la
primera linea del metodo active por:
self.current_user = params[:activation_code].blank? ? :false :
User.find_by_activation_code(params[:activation_code])
Un saludo a todos
Ricardo