https://ruby-china.org/bkbabydp Foolish and hungry. 若无必要，勿增实体。 en-us <p>parcel 是一个极速零配置 Web 应用的打包工具，可以取代 webpacker。</p> <p>写了一个简单的 gem，用 parceljs 来代替 webpacker 集成在 rails。</p> <p>够用但不完善，暂时能满足我现在的项目需求。</p> <p><code>README</code>摘要如下：</p> <h2 id="rails-parcel">rails-parcel</h2> <p>Gem integrates parcel JS module bundler into your Rails application. It is inspired by gems webpacker.</p> <h2 id="Installation">Installation</h2> <p>Add this line to your application's Gemfile:</p> <pre class="highlight plaintext"><code>gem 'rails-parcel' </code></pre> <p>And then execute:</p> <pre class="highlight plaintext"><code>$ bundle install </code></pre> <p>Or install it yourself as:</p> <pre class="highlight plaintext"><code>$ gem install rails-parcel </code></pre> <p>Then run</p> <pre class="highlight plaintext"><code>$ bin/rails g parcel:install </code></pre> <p>Usage</p> <pre class="highlight plaintext"><code>$ bin/rake parcel:clobber $ bin/rake parcel:watch $ bin/rake parcel:serve </code></pre> <p>详情见：</p> <ul> <li><a href="https://rubygems.org/gems/rails-parcel" rel="nofollow" target="_blank">https://rubygems.org/gems/rails-parcel</a></li> <li><a href="http://github.com/bkbabydp/rails-parcel" rel="nofollow" target="_blank">http://github.com/bkbabydp/rails-parcel</a></li> </ul> <p>集成了<code>standard-version</code>工具链作为<code>git commit</code>规范要求。</p> <p>欢迎挑刺和建议。</p> bkbabydp Thu, 27 Feb 2020 10:50:36 +0800 https://ruby-china.org/topics/39542 https://ruby-china.org/topics/39542 <p>最近在使用验证码生成的库 <a href="https://github.com/huacnlee/rucaptcha/" rel="nofollow" target="_blank" title="">huacnlee/rucaptcha</a> 遇到一个问题：</p> <p>我的机子是 CentOS 7 的，访问验证码页面的，总是空白；查看日志，报错：</p> <pre class="highlight plaintext"><code>Started GET "/rucaptcha/" for ... Processing by RuCaptcha::CaptchaController#index as HTML ... RuCaptcha RuCaptcha convert: not authorized `-' @ error/constitute.c/ReadImage/454. convert: no images defined `png:-' @ error/convert.c/ConvertImageCommand/3046. </code></pre> <p>于是经过一番搜索，发现是 ImageMagick 的权限问题，请见社区相关帖子的评论部分：</p> <p><a href="https://ruby-china.org/topics/27832" title="">完美的 Ruby 图形验证码 Gem - RuCaptcha </a></p> <blockquote> <p>“你的 ImageMagick 版本可能太老了，请确保 ImageMagick 版本在 6.9 以上”</p> </blockquote> <p>...</p> <blockquote> <p>“!--wtf？那我不是要换系统？？？不干！”</p> </blockquote> <p>于是死磕，终于解决。</p> <p>原来 rucaptcha 库生成图片的原理是直接用命令行调用 <code>convert</code>指令（ImageMagick 库）：：</p> <p><a href="https://github.com/huacnlee/rucaptcha/blob/master/lib/rucaptcha/captcha.rb#L71" rel="nofollow" target="_blank" title="">huacnlee/rucaptcha 源码</a></p> <p>以上错误，就是在调用<code>label:- png:-</code>的时候产生的。</p> <h3 id="缘起policy.xml">缘起 policy.xml</h3> <p>在 <code>/etc/ImageMagick/</code>（注：用<code>mac/brew</code>安装的，则为 <code>/usr/local/etc/ImageMagick-6/</code>）下，有一个叫做<code>policy.xml</code>的配置文件，ImageMagick 用它来配置各种指令的权限，该文件默认禁用<code>label</code> <code>png</code> 等指令。</p> <p>原来在 ImageMagick 通过一个叫做 <code>delegates</code> 的设计，来实现功能的兼容性和快速扩展，例如各种图片格式转换处理、网络访问等。<code>https</code> <code>png</code> 等指令都是通过该功能实现的。该功能的原理是：通过一个叫做 <code>delegates.xml</code> 的配置文件，配置指令所对应的 <code>shell</code> 语句，并传参执行。而该功能存在安全注入漏洞，攻击者可以通过构建恶意 shell 代码，利用 delegates 指令在解析上的疏忽，传递到<code>delegates.xml</code>对应的 shell 语句执行，进行注入攻击：</p> <p><a href="https://imagetragick.com/" rel="nofollow" target="_blank" title="">漏洞详情：ImageMagick Is On Fire — CVE-2016–3714 TL;DR</a></p> <p>对此，官网的补救措施是使用 <code>policy.xml</code> 文件来对执行的命令进行权限控制；同时在 7.0.1-9 到 6.9.4-7 版本中对 delegates 参数进行安全过滤：</p> <p><a href="https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&amp;t=29588" rel="nofollow" target="_blank" title="">ImageMagick Security Issue —— from imagemagick.org</a></p> <p>因此暂时的解决方案就是，把<code>policy.xml</code>里相关语句进行注销：</p> <pre class="highlight xml"><code>... <span class="nt">&lt;policy</span> <span class="na">domain=</span><span class="s">"coder"</span> <span class="na">rights=</span><span class="s">"none"</span> <span class="na">pattern=</span><span class="s">"TEXT"</span> <span class="nt">/&gt;</span> <span class="c">&lt;!-- &lt;policy domain="coder" rights="none" pattern="LABEL" /&gt; --&gt;</span> <span class="nt">&lt;policy</span> <span class="na">domain=</span><span class="s">"path"</span> <span class="na">rights=</span><span class="s">"none"</span> <span class="na">pattern=</span><span class="s">"@*"</span> <span class="nt">/&gt;</span> ... </code></pre> <p>修改完配置文件，重启服务，一切 ok 了。</p> <h3 id="待探究的课题">待探究的课题</h3> <p>1、如何优化配置<code>ImageMagick</code>才能在易用性或者安全性中寻找一个比较好的平衡——就是<code>rails</code>提倡的最佳实践思想；</p> <p>2、建议在<code>rucaptcha</code>库里去掉<code>label:-</code>而用<code>-draw ...</code>代替，暂未测试，理论上可行；</p> <p>3、此类问题通常比较少见并且解决耗时，如何在开发策略上进行设计，使得此类问题的风险和成本尽可能降低。</p> <p>第一次发帖，多多指教，欢迎探讨。</p> <h3 id="补充">补充</h3> <p>该发完此贴，就发现<code>ruby-china</code>针对优化配置<code>ImageMagick</code>的问题有过一个相关探讨，参看如下：</p> <p><a href="https://ruby-china.org/topics/29909" title="">大量网站易受 ImageMagick 漏洞影响</a> <a href="https://ruby-china.org/topics/30155" title="">ImageMagic 又爆可执行漏洞</a></p> <p>看来社区功能在知识链接上的发力真的是可圈可点啊！</p> bkbabydp Thu, 08 Sep 2016 11:24:20 +0800 https://ruby-china.org/topics/31015 https://ruby-china.org/topics/31015