• @317583395 @ywjno @itomato 夜鸣猪是我维护的 真荣幸,被点名了,赶快出来冒泡,回归组织 😄

  • 有没有讨论组,呼唤组织

  • 挺受鼓动啊,过完年也准备辞职,这一步还是要自己迈的

  • 哦,#25 楼 矫情呢吧,想说我混淆概念因为 Cross-Site Request Forgery,不是 rails 里独有名词,不是解决方案。所以后面理解一定不对,就不用看啦,哈哈,我不介意,个人理解而已

    话说,Rails 这个 csrf_meta_tags 使用 jquery-ujs 实现的吧,不加 ujs,或者禁用 javascript,会不会没有 fall back 呢

  • 如果,你用的是 rails 的话,并且按照规矩正常使用的话。不用 ssl 也已经防范了

    Rails 是通过 CSRF, 来防范类似伪造 cookie 或者 session 的。

    办法就是,

    服务器端: 在 application controller 里放 protect_from_forgery 用来检查请求是不是来自,自己服务器生成的表单

    客户端: 在 view 里放

    csrf_meta_tags

    这个呢,会生成一个 csrf-params 一个 csrf-token, 用来发回到服务器验证

    # File actionpack/lib/action_view/helpers/csrf_helper.rb, line 7
          def csrf_meta_tag
            if protect_against_forgery?
              %(<meta name="csrf-param" content="#{Rack::Utils.escape_html(request_forgery_protection_token)}"/>
    <meta name="csrf-token" content="#{Rack::Utils.escape_html(form_authenticity_token)}"/>).html_safe
            end
          end
    

    那么一般情况下,我们用form_for 或者表单 tag 的时候,这个 csrf 都是自己生成的,都不用担心。服务器端验证也是默认的。

    例外的情况是,json api + ajax 请求,要自己注意验证,是不是伪造请求。

    protect_from_forgery 可以加参数,就说检查到伪造请求,可以清除 session 或者,产生异常详见

    通常情况说的 CSRF 跨站伪造请求的例子是。

    你刚刚登录你的银行,做了一笔转账。

    收到一个邮件,里面有个图片,

    <imgsrc="http://bank.com/transfer.do?acct=MARIA&amount=100000"width="1" height="1" border="0">
    

    如果,你用同一个浏览器打开,不用点击任何,就可以做另外一次转账了。

  • 嗯 postgresql,估计我们也得走 postgresql 啦

  • Phabricator

  • Ryan Bates 怎么了 at 2013年10月04日

    要被收购了吧:)

  • 前排赞,辛苦啊

  • 支持,自己团队出来的

  • @yesmeck 好像有 ios app 可以用

  • ruby 工会第五次在线活动邀请

    时间:北京时间 8 月 17 日,周六晚上 9 点 活动入口:YY 聊天室 39993372

    活动内容 新仔: ActiveSuppot::Concern 模块的用法及源码解读 Race: Rails Cache & Model Cache & redis Clark: 如何用 Form Object 重构 Model

    报名地址: http://rubyunion.com/activities/4

    tech talk 已经进行了几次了,效果还不错,有点经验后,我们慢慢的改进。基本每周 6,晚上都有这个在线活动,入口也一样。 这个 ruby 讨论,有几个目的。其中一个是讨论,面试话题,坚持讨论就会增长。另外一个,是给讲解者动力。 每个话题争取 10 - 15 分钟,话题可以重复讲,主要目的是让参与者受益,讲解者不必特别懂这个话题,主要更有动力自己准备。讲解的过程大家讨论就好。

    Race,Ruby 工会 2013/8/13

  • @AlphaLiu 还有机会

    根据第三次活动的反馈,开多了几个练功房,目的和新人赛类似,找个带队的,成立一个小组,一起做任务。

    http://rubyunion.com/ongoing

    新开的中级练功房,包括 railscast,rails4way,angularjs,还有一个中级任务,模仿和参照标准 gem,做一个 rating gem

    小组参战的好处是可以交流,有点动力,希望能有好处和效果

  • 感谢楼上的支持

    第三次在线活动,本周六,8 点,参与入口

    http://rubyunion.com/activities/2

  • 特别战报 在娱乐和 social 中成长

    因为我在主持新人挑战赛的缘故,隔天我就会出个战报,给大家看看整体情况。这次是扩大范围战报对整个工会范围汇报一下情况。

    上次说到,在工会里参加活动,就如同加入了现实版的魔兽世界的战争。整体上看,当前我们有三个战役同时进行。比较好的,就是新人挑战赛。工会建设这边,老宋,clark,william 也还有样子。最后一个部分是,入职后的老手,做初级项目,有点散兵游勇,不太成规模。

    整体战报,目前为止,工会入职成员超过 25 人。开发最好记录 7/22 的工会成长 73 点,是新人赛启动那天。工会总成长超过 40 点有 8 天,其中三天是,核心人员小迭代上线。剩下 5 天就是这周了。昨天,老宋出了首批原住民奖励 60 人次,我看挺好的。我也建议这首批就是首批,再出就不应该叫首批了。我是想说,为了感谢早期参与工会的成员,这一批就这一批,只要工会还存在你就永远是这么独特的一批,我想以后还会有相应的特权吧。

    新人赛这边,情况如下: 整体上这次新人战,让新人的整体成长分全面超越老人。从开始就参赛的四位队员,dany jsvisa diguage edward 分别以 60/36/26/24拿下了开发得分的前五,为工会战争作出举足轻重的贡献。几个核心开发制订的,工会一下阶段的目标是,工会总成长维持在60以上。除了最初加入新人赛的4位成员。老宋,带hellowern也加入进来。kaku,和xiongbo,最近也从头开始,加入战团。

    新人挑战往后怎么打?本来我们预期是 2 周搞定,tutorial 的流程。现在看进度是跟不上。有 11 章的内容(新人最佳 dany,也才做到 6 章),而且后面几个章节问题,可以预期会比较多。所以,准备延期到 3-4 周。顺利毕业颁发“第一期毕业生”徽章 毕业的流程是, 完成所有练习程序 自己导师出考核任务题目 隔壁导师出挑战任务题目 这个徽章也没那么好拿,可以预期以后会越来越难。5 周(延期一周,考虑到有变态导师出题过难)毕业不了的就算任务失败。

    工会建设方面算是比较平稳吧,老宋做了徽章系统,clark 做了系统公告和职位,william 和新仔做了活动发布参与系统。几个项目一个个做下来,老人们还是比较靠得住的。

    为什么说参与工会是加入一场战争。成员的成长是和工会的成长是结合在一起的,拿下更高的成长分,就是工会成长的更快,我们自己成长的更快。我们的敌人是谁?最大的敌人是我们自己,谁阻碍我们成为行业的第一。我们希望随着工会的成长,日积月累,工会里要造就一批卓越的技术高手。这就是工会的历史责任。

    想说还很多,时间原因啰嗦到这里。希望大家在工会活动里愉快的成长,彼此鼓励,大家抱团成长就是工会的成长。

    race ruby 工会 2013/7/26

  • @southwolf 老宋,网号@small_fish__ 就你楼上的,和 clark 都是我们工会的核心,主力开发。可挖挖前面的介绍,有提到。

    PS: 以后再练习一下,不干码工了,我就可以去写小说了,哈哈

  • 嗯,入职体检,就是 PR 拿到成长分就可以了。是不太好理解,也在考虑怎么能表达的更清楚。seberma 老大,理解是对的,就是,做任务的形式成长吧。

  • ruby 业余协作团队活动 at 2013年07月02日

    #19 楼 @huntter 确实没怎么更新哈,初衷是给 Ruby 社区多少做点贡献,实际走起来比想象的难啊。

    问题多种多样,

    1. 大部分是兼职做(包括我自己),能长期坚持就是个问题。
    2. 水平参差不齐,照顾不过来。还需要一些能够热心,工会管理的志愿者
    3. 自己水平有限是个大问题

    还好啦,有几个一起做过几个项目的兄弟,这也就是坚持的动力吧。 也看到不断有热心新人加入进来,就感觉做这个事还是值得的,就是怎么能做好,让大家受益,比较头疼。

    最近,我们一方面,在开发工会的维护系统,一方面,对于入职体检通过的成员,组织了团队 PK。就是 2 周之内分别做同一个项目,然后,从几个方面投票,选优胜,自己感觉还比较有意思吧。(继续烦银小广告,详见,https://github.com/bay6/portal,群:220186872)也打算,针对工会成员水平不齐问题,组织一个在线交流,一边是熟手,一边新手。针对一些基本的问题,解决一些问题。比如,如何用 pull request,如何用 has many through polymorphic。也是对双方都有好处的,熟手讲解的过程,就是让自己更清楚的过程。新手,稍微一个点拨,胜过自己看 2 天书(有时 2 天一点不夸张)

    就说,还是想如果,能够有一个类似游戏的成长系统,能够给参与者一个,类似,磨级打怪,组队 PK,升级,组团打 BOSS(你的级别够高,项目 profile 够好看,自然会有项目找上你,那就几个人合作,来点外快呗),的类似体验,应该是对于促进成长有好处的。

    希望,有热心 Ruby 社区的兄弟加入进来吧。 * 一方面,工会维护系统,需要有丰富开发经验的熟手加入。主要功能模块有,任务分级,成员成长报告,基本勋章系统,基本经验系统,github 深度集成,团队 PK 功能,投票功能

    * 一方面,需要有热心的社区维护。就算有系统自己转也不行,还是需要有人员来组织活动,维护。

    想到哪说到哪,更新一下状态,谢谢关注哈

  • 80 g
    75 gst
    65 ls
    47 ga
    46 gc
    39 cd
    32 vim
    18 rails
    14 heroku
    13 gd
    
  • 收了

  • @tyaccp_guojian 我也这感觉,学了好几年还是新手一样~,呵呵,没关系一起进步吧

  • @tyaccp_guojian 我 pull request 到你的 repo 了,你接受,合并就看到怎么修改的啦

  • 俺一不小心给你部署了 http://sinatra-mongoid.herokuapp.com user: admin password: password

    pull request 了,接收看看修改吧

  • 俺就比较土啦 😄 真不知道还有这个渊源,所以,先有 mustache.js 还是先有 mustache 啊? http://mustache.github.io/

    还有,就是在 sinatra 领域,mustache 前景如何涅

  • 问题还在吗?我也开始关注这个问题了,还希望一起探讨

  • The Open Source Report Card at 2013年05月25日

    heavy hitting Rubyist

  • @small_fish__ heroku 部署修复,redis 的问题

  • 1 at 2013年04月08日

    演示地址:sinaSAE: http://6bey.scfapp.com/ heroku: http://bey6.herokuapp.com/