私がニューヨークで参加したミートアップで、ベル研究所の人々が Web 上の R の潜在的なセキュリティ問題に取り組もうとしていたことを思い出しました。R セッションがユーザーのために維持されている場合、Web アプリへのコード インジェクションの潜在的なリスクがありました。
さて、これは HTML 5 と PHP のコンテキストで提示されましたが、RinRuby gem で RoR を使用する場合にどのように異なるかはわかりません。この gem を使用する際に一般的なセキュリティの落とし穴を回避するために、開発者が従うべき一連のルールはありますか?
一般に、R はセキュリティを念頭に置いて構築されていません ( Jeroen Ooms による arXiv のプレプリントも参照してください)。また、数値の解析が不安定なことでも有名です。
ソースコードから判断すると (これは2 年間(!) 更新されていませんでした)、RinRuby はインジェクションからの隔離を提供していないようです - ベアボーンevalは地獄へのゲートウェイである、と彼らは言います :)
したがって、 OWASP ガイドラインなどに従って入力を慎重に検証し、パラメータ化してホワイトリストに登録することでインジェクションを回避することは、あなたの肩にかかっています。数値を解析する際の上記の癖を念頭に置いて、入力を適切な間隔に制限する必要があります。
ちょうど私の2セント...