Вроде с моделью в link_to. Тоже магия уходит: есть модель, есть руты - можно сопоставить модель, ее id, нарисовать ссылку.

Ты можешь на гитхабе в поиске вбить и посмотреть что там

Ты можешь на гитхабе в поиске вбить и посмотреть что там

да сейчас попробую

Ты можешь на гитхабе в поиске вбить и посмотреть что там

https://github.com/rails/rails/blob/fc2aa53f875b12df93b0d07932e3ab563b89152c/actionview/lib/action_view/helpers/url_helper.rb#L189 что-то он у меня не находит методов: https://github.com/rails/rails/search?utf8=%E2%9C%93&q=convert_options_to_data_attributes&type=Code

https://github.com/rails/rails/blob/fc2aa53f875b12df93b0d07932e3ab563b89152c/actionview/lib/action_view/helpers/url_helper.rb#L189 что-то он у меня не находит методов: https://github.com/rails/rails/search?utf8=%E2%9C%93&q=convert_options_to_data_attributes&type=Code

ан нет находит.

Господа, а вот данное сокращение _url_for_modules оно запускает некую магию по отноошению к методу url_for? https://github.com/rails/rails/blob/fc2aa53f875b12df93b0d07932e3ab563b89152c/actionview/lib/action_view/helpers/url_helper.rb#L25

а link_to модель принимает вторым аргументом, с чего весь разговор и пошел.

А как устроен линк_ту?

Магически :)

Ты ведь знаешь что ты можешь выделять несколько строк на гитхабе?

Ты ведь знаешь что ты можешь выделять несколько строк на гитхабе?

до сего момента не знал

Ты ведь знаешь что ты можешь выделять несколько строк на гитхабе?

а как?

SHIFT?

SHIFT?

ну да

уже сделал

good news ) нужная вещь

к сожалению ctrl не работает

Потом ты научишься давать ссылку на конкретный коммит а не на мастер бранч, ага

потому что мастер бранч ссылка может внезапно протухнуть

Илизаров

Во всех конфах

Я всего в четырех сижу.

https://blog.sourceclear.com/rails_admin-vulnerability-disclosure/

А как это практически запутсть? `$.ajax({url: victim_url, type: "delete", async: false})

https://blog.sourceclear.com/rails_admin-vulnerability-disclosure/

при условии что к нам жертва зашла на нашу страничку

А как это практически запутсть? `$.ajax({url: victim_url, type: "delete", async: false})

Именно так

Именно так

а то что на другой домен запрос? cookies через прокси пройдут?

а то что на другой домен запрос? cookies через прокси пройдут?

Там не будет csrf

Там не будет csrf

ну а как заставить выполнить браузер жертвы такой js код чтоб запросить метод удаление

ну а как заставить выполнить браузер жертвы такой js код чтоб запросить метод удаление

Ссылку скинуть просто

Ссылку скинуть просто

дык ссылка же дожна быть с методом delete, а он ажаксом толкьо формруется

дык ссылка же дожна быть с методом delete, а он ажаксом толкьо формруется

Аякс у тебя на странице

Аякс у тебя на странице

и как этот аякс будет воздейстовать на ссылку?

вот мой сайт dima.com и есть admin.com который я ломаю. есть страничка dima.com/hack на нее зашел челвоек. Там есть скрипт ajax который формирует запрос $.ajax({url: "admin.com", type: "delete", async: false}) - но это же запрос с dima.com на admin.com

нет, это запрос с клиента на admin.com

когда ты на локалхосте гоняешь - у тебя запросы же идут не от локалхоста, а от браузера

нет, это запрос с клиента на admin.com

да... разве там ajax запрос пройдет?

если нет cross-domain защиты - вполне

если нет cross-domain защиты - вполне

что то мне внутреннее говорит, что запросы ajax на другие домены не работают из коробки.

если нет cross-domain защиты - вполне

по крайней мерее мне так казалось всегда, я не проверял

эммм

в хроме запрещены должны быть некоторые

называется same origin policy, погугли

я вот сейча час статью осиливаю: https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

из коробки не работают

нужно меры предпринять

нужно меры предпринять

и что за меры?

расширение есть

расширение есть

какие?

как-то пример сей атаки ломаеться в дрыг о same origin policy

https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi

хотя может быть запрос пошлют, ответа не будет но ... делов он уже на делает

https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi

т.е. админа надо еще попросить этот плагин установить :) социальная инженерия получается)

ну вообще в той статье на MDN как раз написано, что если браузеру отсылать Access-Control-Allow-Origin , то он возбухать не будет

ну вообще в той статье на MDN как раз написано, что если браузеру отсылать Access-Control-Allow-Origin , то он возбухать не будет

это прекрасно. т.е. я с dima.com могу отправить Access-Control-Allow-Origin: admin.com ?

ну да

ну да

а что-то мне подсказывает что нет. что это admin.com сам себя должен указать

где?

т.е. судя по документахе, отвечает с allow-orgin нам как раз cервер bar-other который разрешает foo.exapmle с ним разговаривать.

ну

ну

а что ну то? как это совмещается с атакой предложенной в стаье которую Лупсик Пупсик любезно подогнал рубишной общественности для ознакомления?

ну

предлагаю обдумать и разобраться.

а что думать?

в данном случае поможет палгин для хрома

ERROR: S client not available

в данном случае поможет палгин для хрома

ну у вас он стоит этот плагин? - нет и у меня нет. и жертвы тоже нет скорей всего.

епть

жертва - это владелец сайта

у которого админка

а не чувак с браузером

вообще браузер не нужен, достаточно curl

вообще браузер не нужен, достаточно curl

да, а где вы админские кукисы возьмте?*

это надо чтоб залогиненый владелец сайта повелся и зашел на страничку, и сам себе все похерил

вы же хакер, вы же величина, а такое пишете, что вся пересыпь с вас смееется!1

т.е. нам надо 2 вещи а) админские кукисы б) запостить delete запрос админские кукисы у админа. Поправте меня если я не прав.

SOP does not prevent sending requests. It does prevent a page from accessing results of cross-domain requests.

вот как-то так

SOP does not prevent sending requests. It does prevent a page from accessing results of cross-domain requests.

о спасибо

http://stackoverflow.com/questions/33261244/why-same-origin-policy-isnt-enough-to-prevent-csrf-attacks

https://github.com/rentalcustard/unrefine ахахах

every 15.minutes do runner "ServerStat.stat_all", output: "~/logs/stat_all.log", environment: Rails.env end за такое руки отрывают или норм?

а что не нравится?

gem whenever

ну, пришлось делать require 'rails' для Rails.env например

да и плевать

хотя я обычно через whenever только рейк таски гоняю

http://interblah.net/why-is-nobody-using-refinements было include extend - это ясно. теперь еще какое то using появилось

тут были мастера google запросов как using достать из гугла?

мда это богаство синтаксиса делает человека неотделимым от ruby сообщества, потому как найти значение какого-то очередного слова, это облезть, в keyworks я не extend ни using не наблюдаю: https://docs.ruby-lang.org/en/2.2.0/keywords_rdoc.html

нашел: https://ruby-doc.org/core-2.3.3/Module.html#method-i-using

нашел: https://ruby-doc.org/core-2.3.3/Module.html#method-i-using

Мы тут раза 3–5 уже обсуждали refinements

Мы тут раза 3–5 уже обсуждали refinements

когда?

когда?

Последний раз — вчера

Последний раз — вчера

что-то не помню