Hola a todos
Tengo que desarrollar una aplicación con https y por lo que leÃ
por ahà estoy empezando a desestimar mis opciones de usar RoR.
Lo que lei es que existe un problema con los redirect_to, que no
sabén que se esta usando HTTPS y tirán contra HTTP. Alguien que
me de una buena noticia? 
Gracias!!
On Dec 11, 2007, at 1:14 PM, Pablo Formoso E. wrote:
Tengo que desarrollar una aplicación con https y por lo que leí
por ahí estoy empezando a desestimar mis opciones de usar RoR.Lo que lei es que existe un problema con los redirect_to, que no
sabén que se esta usando HTTPS y tirán contra HTTP. Alguien que
me de una buena noticia?
redirect_to admite varios tipos de argumentos. En general salvo que tu
le pases a manopla una cadena que empiece con “http://” usara el mismo
protocolo que el del request actual. Es decir, genera una URL segura
si lo es la actual.
Podria pasar que la URL destino fuese segura y no lo sea la actual. En
ese caso puedes especificar que el protocolo es seguro en la llamada,
aunque esa aproximacion no me gusta mucho. Yo uso el plugin Secure
Actions
http://agilewebdevelopment.com/plugins/secure_actions
que permite declarar que acciones son seguras y eso lo cuadra con la
generacion de URLs, aqui escribi un poco sobre como va y algun pequeño
gotcha que encontre:
– fxn
En tractis tenemos toda la aplicación bajo https y el apache tiene
redirects para pasar que todas las peticiones http sean https.
Sobre redirect_to, cuando le pasas un hash emplea url_for para la
redirección.
url_for permite espedificar el protocolo de forma explÃcita (por
defecto pilla el de la petición)
Asà que podrás hacer redirect_to :action => ‘signup’, :protocol =>
‘https’
Además, modificar el core para que todos los redirect_to vayan por
https es trivial 
Un saludo!
On Dec 11, 2007 1:14 PM, Pablo Formoso E.
[email protected] wrote:
Gracias!!
Ror-es mailing list
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
Ernesto Jiménez Caballero
Software Engineer Leader
Negonation
(34) 620 475 382
[email protected]
Yo no me liaria …
http://dev.rubyonrails.org/browser/plugins/ssl_requirement
És una maravilla.
Un saludo,
Francesc
On Dec 11, 2007, at 2:56 PM, Ernesto Jiménez Caballero wrote:
https es trivial
Lo que lei es que existe un problema con los redirect_to, que no
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
Por cierto, os mando una ejemplo de la configuración de apache que
utilizo. (al final del mail)
Esto junto que el plugin i en 10 minutos lo teneis funcionando.
http://dev.rubyonrails.org/browser/plugins/ssl_requirement
if %w( production stagging ).include? RAILS_ENV
ssl_required :login, :profile, :profile_extended, :new, :change_password
end
Un saludo,
Francesc
<Proxy balancer://railsapp1>
BalancerMember http://127.0.0.1:8000
BalancerMember http://127.0.0.1:8001
ExtendedStatus On
<Location /server-status>
SetHandler server-status
<Location /balancer-manager>
SetHandler balancer-manager
<VirtualHost *>
ServerName test.railsapp1.com
LimitRequestBody 102400
ProxyRequests Off
ProxyPass /server-status !
ProxyPass /balancer-manager !
ProxyPass / balancer://railsapp1/
ProxyPassReverse / balancer://railsapp1/
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.pem
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
NameVirtualHost *:443
<VirtualHost *:443>
ServerName railsapp1.com:443
LimitRequestBody 102400
ProxyRequests Off
ProxyPass /server-status !
ProxyPass /balancer-manager !
ProxyPass / balancer://railsapp1/
ProxyPassReverse / balancer://railsapp1/
RequestHeader set X_FORWARDED_PROTO “https”
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.pem
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
On Dec 11, 2007, at 2:56 PM, Ernesto Jiménez Caballero wrote:
https es trivial
Lo que lei es que existe un problema con los redirect_to, que no
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
On Dec 11, 2007, at 4:48 PM, Francesc E. wrote:
El problema que le veo a ese plugin es que no esta integrado con la
generacion de rutas.
La idea de ssl_requirement es:
si viene una peticion en claro
y deberia ser segura, entonces
hago una redireccion con https
Claro, tu no quieres que el form de login viaje en claro y luego se
redirija la peticion, tu quieres que ya de entrada el password vaya
cifrado.
Por tanto, usando ese plugin estas obligado a poner el HTTPS a mano en
las vistas, ya sea en el form de login en el ejemplo, ya sea en los
enlaces a la pagina que lo contiene (en cuyo caso el form hereda el
protocolo de la pagina), pero has de acordarte.
Por eso prefiero Secure Actions, porque declaro las acciones seguras
en los controladores como uno hace con ssl_requirement y se que alla
donde ponga un link iria el protocolo correcto automaticamente.
Por cierto, Enesto … tu eres Ernex no?
Un saludo,
Francesc
On Dec 11, 2007, at 6:40 PM, Ernesto Jiménez Caballero wrote:
Exacto.
en claro por un momento en general no importara. Eso desde el punto[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
“Off-Topic” ?
Hace unos meses llamé a los servicios informaticos de La Caixa porque
al entrar en su web hay un formulario que envia los datos del usuario
SIN ENCRIPTAR!!!
Yo alterado empezé a pasarlo todo por un sniffer, i se veian como “mis
datos” salian de mi maquina sin encriptar. Los de “La Caixa” entidad a
la que respeto porque guardan todo mi dinerito, me dijeron que habia
un javascript que se encargaba de hacer eso … i que lo hacian para
evitar que cada vez que entrara un usuario en la web apareciera el
mensaje de aviso del certificado SSL, pero aun i así el formulario no
tenia ni SSL ni nada … ahora lo han cambiado i aparece un churro de
JS por allì en medio.
Mi pregunta fué … i si no tengo Javascripts activado? Pues que no
puedes utilizar el servicio. Aix …
Así que hay muchas manera de hacer las cosas. 
Francesc
On Dec 11, 2007, at 6:36 PM, Xavier N. wrote:
por HTTP hay un form de login. El password viajara en claro, y con la
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
Utilizo SSH, copio archivos con SCP, uso subversion con SVN+SSH con
clave pública y todo tractis va por SSL
En ningún momento he dicho que el login deberÃa ir en claro, yo creo
que para bien, todo deberÃa ir por SSL.
Lo que digo es que la ganancia que tiene el usuario por poner el
login con SSL es más bien escasa, cuando luego van a hacer login en
cualquier otra web, con el mismo password y sin SSL
La seguridad es tan fuerte como el eslabón más débil, ya puedes
proteger todo lo que quieras el login si luego el usuario va a usar el
mismo password en una web sin cifrar.
Sobre cómo guardar los passwords: hash + salt
On Dec 11, 2007 7:13 PM, Francesc E. [email protected]
wrote:
repositorio se hacia por SSL porque habia todas las claves de acceso
Siendo realistas. ¿Qué ganan la mayorÃa de usuarios metiendo por SSL
por
Negonation
Ernesto Jiménez Caballero
name. Francesc E. i MartÃ
voice. +34 678.681.603
Ror-es mailing list
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
Ernesto Jiménez Caballero
Software Engineer Leader
Negonation
(34) 620 475 382
[email protected]
Si un usuario va a la pantalla de login, y hay un SSL requirement de
que esa
accion sea segura, al usuario se le redirecciona a https:// y el form
tiene el mismo
protocolo, no?
(XFN, que em fas dubtar!!!)
Cesc
On Dec 11, 2007, at 4:58 PM, Xavier N. wrote:
y deberia ser segura, entonces
Por eso prefiero Secure Actions, porque declaro las acciones seguras
en los controladores como uno hace con ssl_requirement y se que alla
donde ponga un link iria el protocolo correcto automaticamente.
Ror-es mailing list
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
Y le haces pagar al usuario la disminución de velocidad al moverse por
pàginas SSL?
Creo que eso es muy feo. Vaya, ya lo dices tu, eres “algo radical”.
Francesc
On Dec 11, 2007, at 6:40 PM, Ernesto Jiménez Caballero wrote:
Exacto.
en claro por un momento en general no importara. Eso desde el punto[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
Yo por mi parte dirÃa, que si se va a poner SSL, mejor forzar todo el
tráfico por SSL, pero para eso soy algo radical
On Dec 11, 2007 6:36 PM, Xavier N. [email protected] wrote:
por HTTP hay un form de login. El password viajara en claro, y con la
Ror-es mailing list
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
Ernesto Jiménez Caballero
Software Engineer Leader
Negonation
(34) 620 475 382
[email protected]
Lo del mensaje del SSL de la caixa me parece muy cutre.
Si compras un certificado SSL firmado por una autoridad de las que
vienen instaladas en los navegadores el mensaje de SSL solo te sale
cuando hay algún problema (entra en tractis y verás que va por SSL y
no te sale ninguna alerta)
Los navegadores llevan una serie de certificados de autoridades
instalados por defecto (en Firefox, preferencias → avanzado →
cifrado → ver certificados → autoridades). Estos certificados se
emplean para validar los certificados SSL de las webs que visitas, y
cuando un certificado está validado por una de esas autoridades el
navegador no muestra ningún mensaje. Los navegadores solo muestran
mensajes cuando no saben si se pueden fiar de un certificado (el
certificado no está validado por ninguna de las autoridades que están
instaladas).
Bueno, me estoy alejando bastante del thread, asà que si queréis
debatir el tema abrimos uno distinto, pero en esto hay muchas cosas a
considerar
Por cierto, no soy Ernex
On Dec 11, 2007 6:51 PM, Francesc E. [email protected]
wrote:
Yo por mi parte dirÃa, que si se va a poner SSL, mejor forzar todo el
de
–
Ernesto Jiménez Caballero
Software Engineer Leader
Negonation
(34) 620 475 382
[email protected]
Siendo realistas. ¿Qué ganan la mayorÃa de usuarios metiendo por SSL el
login?
Total, la mayorÃa va a usar los mismos passwords en tu web que en
otras que no lo cifrarán.
Me parece que el login es la parte que menos se beneficia de SSL, y
además ya tienes herramientas para moverlo sin SSL.
Por otro lado: ¿de qué te sirve poner el login por SSL si luego el
identificador de sesión va a ir en plano y le van a poder hacer un
hijacking de sesión?
Además, para temas de login no hace falta emplear SSL para no enviar
la contraseña del usuario en plano. p.ej: hace años que cocacola hace
login en su web con el MD5 del password del usuario, con una
implementación bastante cutre, pero nos da para ver que no es
necesario SSL para proteger el password
On Dec 11, 2007 6:43 PM, Francesc E. [email protected]
wrote:
tambien lo es … asi que lo datos no van a “en claro”.
dejar que se llegue a ella por una redireccion porque si esa pagina
http://lists.simplelogica.net/mailman/listinfo/ror-es
Ror-es mailing list
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
Ernesto Jiménez Caballero
Software Engineer Leader
Negonation
(34) 620 475 382
[email protected]
On Dec 11, 2007, at 5:07 PM, Francesc E. wrote:
Si un usuario va a la pantalla de login, y hay un SSL requirement de
que esa
accion sea segura, al usuario se le redirecciona a https:// y el form
tiene el mismo
protocolo, no?
Yep :-).
On Dec 11, 2007, at 5:21 PM, Francesc E. wrote:
Ei, tenia que probarlo para confirmar que si la ruta es https el
formulario
tambien lo es … asi que lo datos no van a “en claro”.
Exacto.
El gotcha es que el form va en claro si la pagina que lo contiene no
es segura, por ejemplo cuando en una home normal y corriente servida
por HTTP hay un form de login. El password viajara en claro, y con la
redireccion en seguro en una segunda peticion, pero ya circulo en
claro en la primera.
En el caso de que el form viva en una pagina que ya va por SSL puedes
dejar que se llegue a ella por una redireccion porque si esa pagina va
en claro por un momento en general no importara. Eso desde el punto de
vista de seguridad esta bien. Hay una redireccion algo gratuita por no
generar ya la URL como la quieres, pero eso ya va a gustos.
Que la información de login vaya “en claro” por la red me parece un
poco feo pero entiendo que en algunas webs, por la información que hay
no sea “estrictamente” necesario. Pero igualmente me parece feo.
Supongo entonces que te conectas por telnet, que accedes a los
servidores via ftp por el puerto 21 y que no te preoucupa que alguien
esté escuchando al otro lado.
No se, en el ultimo proyecto que estuve trabajando los checkouts del
repositorio se hacia por SSL porque habia todas las claves de acceso
de las pasarelas de pago en los archivos de configuración. No me
imagino moviendo esos datos sin SSL.
Tu como guardas los passwords en la base de datos?
Cesc
On Dec 11, 2007, at 6:56 PM, Ernesto Jiménez Caballero wrote:
hijacking de sesión?
por
Negonation
Software Engineer Leader
Negonation
(34) 620 475 382
[email protected]
Ror-es mailing list
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
Ei, tenia que probarlo para confirmar que si la ruta es https el
formulario
tambien lo es … asi que lo datos no van a “en claro”.
Un saludo,
Francesc
On Dec 11, 2007, at 4:58 PM, Xavier N. wrote:
y deberia ser segura, entonces
Por eso prefiero Secure Actions, porque declaro las acciones seguras
en los controladores como uno hace con ssl_requirement y se que alla
donde ponga un link iria el protocolo correcto automaticamente.
Ror-es mailing list
[email protected]
http://lists.simplelogica.net/mailman/listinfo/ror-es
–
name. Francesc E. i Martí
voice. +34 678.681.603
This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.
Sponsor our Newsletter | Privacy Policy | Terms of Service | Remote Ruby Jobs