断点调试最强大，可以结合 proxy 做一个类似 fiddler 的东东？

#27 楼 @happypeter 好贵

这个问题的原因不是因为 Ruby 里变量出现过就是有定义的么，不一定要执行到。比如：

if false
  var = 1
end
puts defined?(var) # => local-variable

还有一个例子是a = a || 1

回到 a = a || 1。这里 Ruby 先看到了 a 出现在赋值符号的左手边，于是创建出变量 a，值为 nil；接下来对赋值符号右手边求值，nil || 1 的结果是 1；然后完成赋值，a 的值就是 1 了。单独的 a || 1 则没这待遇，得看前面有没有别的地方让 a 存在，不然就会出错。

http://rednaxelafx.iteye.com/blog/361770

#15 楼 @luikore 这个 timing attack 攻击条件虽然苛刻，难以利用，但是如果成功的话会带来潜在的 SQL 注入和任意代码执行漏洞。序列化换成 json 也是这个原因，yaml 做和外部输入相关的风险太大，json 是最佳的。

上面也提到了如果是在云平台内部的话延迟是可以很低的，timing attack 还是可行的。

#22 楼 @luikore 看了介绍 okjson 是从 go port 过来的，连发布方式也像 go，不做成 gem，直接 copy 到项目里，避免命名冲突和依赖。设计目的是简单便携。

PS. 上次 Rails 的 json-yaml 漏洞 patch 也引人的这个 okjson。

#20 楼 @luikore 看commit message是说 1.6+ 会默认用 JSON，现在使用的 rack 还都是 1.5 的。还加了一个 okjson，不知道是不是速度快一些？

#3 楼 @keating 因为 Rails 在三年前已经 fix 了这个问题：https://github.com/rails/rails/commit/5e6dab8b34152bc48c89032d20e5bda1511e28fb

#1 楼 @bhuztez 大部分 Rails 项目是在 cookie 里存 session 的，因为那是默认设置。

写了一篇博客解释一下：http://hooopo.herokuapp.com/posts/1

#15 楼 @luikore 如果用 Passenger 或 Unicorn 开启OOBGC 客户端遇到 Ruby GC 的概率会很低的。会更利于这种 timing attrack 攻击。

其实 Rails 的 session 是没有加密的（前面那串就是简单的序列化），只做了防串改／伪造。而防伪造的唯一工具就是那个 secret_token，但是大多数开源项目是直接把这个东西放到源码库里的。所以，大部分 Rails 开源项目的 session 是很容易伪造的。不过 devise 使用 warden 这样的 gem 做法好像有些不同，没只细看。像 Ruby China 的 session 前半部分反序列化回来是这样的：

"session_id"=>"b8d724a***7f5c27494a51906",
 "_csrf_token"=>"oWVFfkGLJ***MelmIzFnQ+GpFkE7wtn2IM2Wn0=",
 "warden.user.user.key"=>["User", [8], "$2a$****W9LTJb2zsX2y."]} 

Rails4 貌似在引入防 cookie 篡改／伪造的机制，和 session 原理一样。

跑题：http://python-china.org/member/hooopo 这个漏洞还没修，怎么才能拿到站长 session。。。

Rack::Session::Cookie 以前是可以伪造的：https://github.com/rack/rack/commit/054bc0203012c0e3ad6e1385cebe9e5d3d072b11

不知道还有没有了。。

#4 楼 @snowhs 你应该做一个 demo 重现这个 bug。要不别人很难帮助到你。

没代码怎么提供线索啊

I have used CarrierWave and after some hours of frustration I'm switching to Paperclip.

Here are the problems I have seen with CarrierWave:

• You can't validate file size. There is a wiki article that explains how to do it, but it does not work.
• Integrity validations do not work when using MiniMagick (very convenient if you are concerned about RAM usage). You can upload a corrupted image file and CarrierWave will throw an error at first, but the next time will swallow it.
• You can't delete the original file. You can instead resize it, compress, etc. There is a wiki article explaining how to do it, but again it does not work.
• It depends on external libraries such as RMagick or MiniMagick. Paperclip works directly with the convert command line (ImageMagick). So, if you have problems with Minimagick (I had), you will lose hours diving in Google searches. Both RMagick and Minimagick are abandoned at the time of this writing (I contacted the author of Minimagic, no response).
• It needs some configuration files. This is seen as an advantage, but I don't like having single configuration files around my project just for one gem. Configuration in the model seems more natural to me. This is a matter of personal taste anyway.
• If you find some bug and report it, the dev team is really absent and busy. They will tell you to fix bugs yourself. It seems like a personal project that is improved in spare time. For me it's not valid for a professional project with deadlines.

http://stackoverflow.com/questions/7419731/rails-3-paperclip-vs-carrierwave-vs-dragonfly-vs-attachment-fu

paperclip

gem ins triez
Fetching: triez-0.1.gem (100%)
Building native extensions.  This could take a while...
Successfully installed triez-0.1
1 gem installed

Awesome!

#5 楼 @fenprace 。。。。。。。。。。

你用 flash 保存的？

awesome

#16 楼 @lmorenbit 是的。关键是如何制止邻居扔屎。去骂哥哥蠢或是骂姐姐蠢都是没意义的。

其实我觉得第二种观点并不比第一种高到哪里去。但是微薄/推特上那些连别人观点都没看明白就开始贴标签的也是让人讨厌的。

#8 楼 @Saito fixed..

hehe

#8 楼 @Saito http://rails-erd.rubyforge.org/ 这个也挺好用。不过其实我都不看的，直接看数据库里的字段。。

datamaper

#6 楼 @Saito yeah.it's from dhh..

dry is not always a good idea.

#8 楼 @bhuztez 怕被监控不要上网哇.......

哪有要摧毁之前还公布出来的。

#7 楼 @iBachue ……

是蓝朋友么...