Hola,
Tenemos una aplicación en producción desde hace unos 6 meses, y está
recibiendo contínuamente peticiones como la siguiente:
El resultado es siempre, o eso creo, el “educado” mensaje de rails
“No es posible mostrar la página requerida”. La pregunta es si
conoceis ataques documentados de este estilo sobre ror.
Gracias,
Asier
Que es lo que quieres hacer exactamente? El “No es posible …” es un
error 404 y no es incorrecto, ya que la página no existe.
Por si acaso asegurate de que en tus css no hay llamadas a otros
recursos en
stylesheets usando un path relativo.
On Tue, Jun 10, 2008 at 10:22 PM, Asier E. [email protected]
Hola,
El resultado es siempre, o eso creo, el “educado” mensaje de rails
“No es posible mostrar la página requerida”. La pregunta es si
conoceis ataques documentados de este estilo sobre ror.
A mí me parece mala idea dejar que las peticiones a tus ficheros
estáticos pasen por Rails. En un framework monothread creo que es una
pérdida innecesaria de recursos. En los proyectos que pongo en
producción me gusta configurar mi servidor web de forma que no deje
pasar las peticiones de ficheros estáticos. Si no tengo ningún caso de
uso válido que me lo impida, lo más fácil es ponerle una regla que diga
que todo lo que venga con un . en el nombre lo sirva directamente el
servidor web y no se lo pase a la capa de rails.
Vamos, que no sé de dónde te viene la petición esa rara (aunque el
comentario de juanjo en otro mail me parece muy razonable y vale la pena
echarle un ojo), pero independientemente de dónde venga, nunca debería
pasar por rails.
Saludos,
javier ramírez
2008/6/11 javier ramirez [email protected]:
A mà me parece mala idea dejar que las peticiones a tus ficheros
estáticos pasen por Rails. En un framework monothread creo que es una
pérdida innecesaria de recursos. En los proyectos que pongo en
producción me gusta configurar mi servidor web de forma que no deje
pasar las peticiones de ficheros estáticos. Si no tengo ningún caso de
uso válido que me lo impida, lo más fácil es ponerle una regla que diga
que todo lo que venga con un . en el nombre lo sirva directamente el
servidor web y no se lo pase a la capa de rails.
Para la lista: esa configuracion que capa puntos:
RewriteCond %{REQUEST_FILENAME} ^[^.]+$
RewriteRule ^/(.*)$ balancer://cluster%{REQUEST_URI} [P,QSA,L]
en particular no deja que se sirvan recursos con el formato en el
path, como /users/23.xml. En general puede que ya le sirva a uno si no
usa esos paths, y en tal caso es buena idea porque normalmente una
aplicacion en produccion recibe algunas peticiones chungas buscando
vulnerabilidades de IIS, scripts .php etc. que si no llegan a Mongrel
pues eso que le quitas.
This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.
Sponsor our Newsletter | Privacy Policy | Terms of Service | Remote Ruby Jobs