Кстати, всех с празничком :) 256 день :) День програмиста

с праздником

а у пассажира конкурентная модель такая же как у юникорна чтоли? несколько процессов?

Ruby applications can normally handle only 1 request at the same time. With Passenger this is improved by running multiple processes of the application using pooled application groups. For each request from the incoming request queue, a non-busy (free) application process is selected to handle the request. For thread-safe Ruby apps it is also possible to enable multithreading, which allows the application processes to concurrently handle multiple requests at the same time – up to the amount of threads configured. In this case, Passenger forwards the request to the instance that is currently handling the least number of requests.

https://www.phusionpassenger.com/library/indepth/ruby/request_load_balancing.html

Puma is the only open-source option for multithreading. Passenger Enterprise provides multithreading support. Unicorn does not support multithreading.

пичаль. только в тырпрайз версии есть многопоточность

Поможет может кто, какие сейчас основные web уязвимости при использовании RoR?

Именно присущие Rails

Дудосер в чате?)

Мм?

Поможет может кто, какие сейчас основные web уязвимости при использовании RoR?

по-дефолту рельса хорошо защищена от всех стандартных уязвимостей

дальше уже разработчики стреляют себе в ногу, имплементя xss, sql injection, etc

Ну с этим конечно поспорить можно

Постоянно находят RCE или Dynamic Render File Upload или Secret session cookie rce

уверен что ты про ror, а не про гемы?) ну ror, конечно, тоже находят уязвимости, но быстро фиксят

А какая сейчас актуальная последняя версия?

https://github.com/rails/rails/releases

Всем привет, но у меня возник слегка нубский вопрос: обычно для сессий используется session_store, т.е. хранится только на клиенте. Соответственно если сесионная кука меняется (пользователь, например, разлонился и залогинился), то на сервере при этом ничего не меняется. Значит симметричный алгоритм, который шифрует сессию (user_id + секретный ключ), который скорее всего RSA, при одном и том же секретном ключе и user_id, может выдать бесконечное количество валидных сесионных кук?

Всем привет, но у меня возник слегка нубский вопрос: обычно для сессий используется session_store, т.е. хранится только на клиенте. Соответственно если сесионная кука меняется (пользователь, например, разлонился и залогинился), то на сервере при этом ничего не меняется. Значит симметричный алгоритм, который шифрует сессию (user_id + секретный ключ), который скорее всего RSA, при одном и том же секретном ключе и user_id, может выдать бесконечное количество валидных сесионных кук?

Совершенно не обязательно на клиенте

Я понимаю, вопрос в том, когда только на клиенте - самый частый случай.

Я понимаю, вопрос в том, когда только на клиенте - самый частый случай.

Id сессии состоит из хэшированного значения случайной строки. Случайная строка это текущее время, случайное число от 0 до 1, номер id процесса интерпретатора Ruby (также базирующегося на случайном числе) и строка-константа. В настоящее время не представляется возможным брутфорсить id сессии Rails. В настоящее время MD5 применяется бескомпромиссно, но он имеет коллизии, поэтому теоретически возможно создание разных строк результата с одинаковым хэшированным значением. Но это не влияет на безопасность на сегодняшний день. http://v32.rusrails.ru/ruby-on-rails-security-guide/sessions

вжух

Id сессии состоит из хэшированного значения случайной строки. Случайная строка это текущее время, случайное число от 0 до 1, номер id процесса интерпретатора Ruby (также базирующегося на случайном числе) и строка-константа. В настоящее время не представляется возможным брутфорсить id сессии Rails. В настоящее время MD5 применяется бескомпромиссно, но он имеет коллизии, поэтому теоретически возможно создание разных строк результата с одинаковым хэшированным значением. Но это не влияет на безопасность на сегодняшний день. http://v32.rusrails.ru/ruby-on-rails-security-guide/sessions

А почему "теоретически возможно создание разных строк результата с одинаковым хэшированным значением" ? Разве это не так и есть? Еще раз повторюсь, на сервере ничего не изменилось, а кука изменилась, но также валидна, как и предыдущая кука.

А почему "теоретически возможно создание разных строк результата с одинаковым хэшированным значением" ? Разве это не так и есть? Еще раз повторюсь, на сервере ничего не изменилось, а кука изменилась, но также валидна, как и предыдущая кука.

потому что может, что в этом не так? она же валидна.

Значит сервер может выдать бесконечное количество валидных сесионных кук - верное утверждение?

Значит сервер может выдать бесконечное количество валидных сесионных кук - верное утверждение?

На мой взгляд это утверждение верно. Сервер как раз этим и занимается. Выдает бесконечное количество валидных сессионных кук.

Понял, спасибо

Или не кук, в данном случае не важно, где это хранится.

{}

(предположение)

(предположение)

https://github.com/alienhard/SublimeAllAutocomplete#settings из мануала взял

там кусок файла наверняка

я тоже в примеры не пишу полный код

засунь все это в {} и проверь уже.

засунь все это в {} и проверь уже.

да похоже на то.

да похоже на то.

почему то желание копаться в сорсах у тебя есть, а предположения не строишь.

мне нужно снимать некторые метрики. например сколько раз в сутки выполняется определенный запрос. но не хочу это писать вручную. ньюрелик умеет это? или что лучше использовать?

умеет

ньюрелик даже бесплатный довольно толковый

а если еще и заплатишь... ?

а если еще и заплатишь... ?

там ценник бешеный вроде

бешенный, но он стоит того)

Технологический вопрос. Какими средствам отслеживюатся TODO: в коде. я использую rubocop в консоле и sublime. Мне интересны best pracitses разработки.

Сейчас в книжке нашел код.

rake todo вроде был

И там по моему куча ошибок смысловых, код интерпретируется работает, но по моему не так как надо. А тестить сейчас время нет. Я вот это пометил TODO

И там по моему куча ошибок смысловых, код интерпретируется работает, но по моему не так как надо. А тестить сейчас время нет. Я вот это пометил TODO

Выносишь в таск трекер как тех долг

Если нет возможности - я обычно тупо ag TODO делаю и не заморачиваюсь

Если нет возможности - я обычно тупо ag TODO делаю и не заморачиваюсь

что такое ag?

Выносишь в таск трекер как тех долг

это в github?

что такое ag?

Grep TODO

это в github?

Ну, зависит от того, где твой таск трекер

И там по моему куча ошибок смысловых, код интерпретируется работает, но по моему не так как надо. А тестить сейчас время нет. Я вот это пометил TODO

хз как код в прод можно вообще без тестов писать

хз как код в прод можно вообще без тестов писать

это книжка

Grep TODO

grep -rnw './' -e 'TODO'

хз как код в прод можно вообще без тестов писать

Я же об этом уже писал

или не тут

grep -rnw './' -e 'TODO'

типо того, да

на самом деле это работает примерно так: 1) Пишешь код. 2) Ждешь год-полтора 3) понимаешь, что надо серьезно рефакторить/переписывать функционал 4) Решаешь написать тесты, что бы ничего не сломать 5) Смотришь код и ничего не понимаешь, что это за хрень, какой мудак это писал и как это вообще работает 6) рвешь волосы на попе, что не написал тесты сразу 7) тратишь месяц, что бы понять старый код и покрыть его тестами 8) теперь ты адепт BDD

типо того, да

все понял https://www.mankier.com/1/ag

ага, просто другая обертка

можешь еще юзать git grep

ERROR: S client not available

на самом деле это работает примерно так: 1) Пишешь код. 2) Ждешь год-полтора 3) понимаешь, что надо серьезно рефакторить/переписывать функционал 4) Решаешь написать тесты, что бы ничего не сломать 5) Смотришь код и ничего не понимаешь, что это за хрень, какой мудак это писал и как это вообще работает 6) рвешь волосы на попе, что не написал тесты сразу 7) тратишь месяц, что бы понять старый код и покрыть его тестами 8) теперь ты адепт BDD

потом понимаешь что косты фикса BDD тестов слишком высоки, пишешь юнит тесты, теперь ты адепт TDD

мне повезло что с самой первой кодовой базы я работал с говнокодом, быстро к тестам пришел.

Всем советую, это работает ?

мне тоже повезло с говнокодом

хотя, называть это везением и достаточно странно )

если для тебя цель - стать эффективным разработчиком то повезло.

просто хороший код как правило редко валится, соответственно его архитектуру уже написали до тебя.

Если пишешь сам - то сначала ты напишешь говнокод, а уже потом будешь учиться как писать не говнокод.

ну удача - это попасть в кампанию, где сразу пишут хорошо и ревьюят хорошо

и тебя сразу научат как надо, и заставят привыкнуть к этому

без боли )

ну удача - это попасть в кампанию, где сразу пишут хорошо и ревьюят хорошо

это же сугубо дело культуры в компании

можешь еще юзать git grep

спасибо

при работе с текстовыми данными tdd понятет. Интересно как работать bdd/tdd когда работают с UI и чем-то динамическим

аналогично, у тебя всегда есть что-то, что принимает какие-то данные и возвращает их

если про bdd говорить, есть капибара, которая “эмулирует” поведение пользователя

аналогично, у тебя всегда есть что-то, что принимает какие-то данные и возвращает их

ясно. Вычлинять это что-то достаточно сложно. Потому что часто оно завязанно на классах которые отрисовывают.

получается надо депенданси инжекшн везде делать, чтоб подсовывать различные mock и stub

щас погуглю js bdd

получается надо депенданси инжекшн везде делать, чтоб подсовывать различные mock и stub

например так

щас погуглю js bdd

не разочаровывайся и не гугли, лол

не разочаровывайся и не гугли, лол

а в чем разочарование?

ну, там все плохо, как я вижу по коллегам

ну, там все плохо, как я вижу по коллегам

после ruby конечно не хочется возвращаться в js, от слова совсем.

да ладно вам, js уже не тот, что 3-4 года назад

ну да, теперь ему нужно два компилятора, интерпретатор, пакетный менеджер и компановщик

иначе hello world не взлетит

да ладно вам, js уже не тот, что 3-4 года назад

дело в чистоте самого языка. Код на руби - чистый. без этого сора скобочек и ненужных слов.

в руби ставят end в конце блока(

можно {} как в жс