草庐IT

Java 安全测试

全部标签

ruby-on-rails - ActiveSupport::SecureRandom 如何安全?

ActiveSupport::SecureRandom是否安全,因为它“不可能”计算出随机数,或者它返回UUID的方式是否安全? 最佳答案 随机数(及其应用)的安全性来自于它对于加密目的的随机性。随机性的质量在很大程度上取决于系统可以提供的熵,例如通过Linux上的/dev/urandom接口(interface)。为了安全起见,给定先前生成的随机数的某个序列,攻击者不能猜测下一个随机数。您可以使用ActiveRecord::SecureRandom作为创建UUID的实现的一部分(版本4)但它们没有直接关系
ruby-on-railsActiveSupportsectionSecureRandomcoderubyrandomsecurity

ruby-on-rails - 为什么我应该只在测试环境而不是开发或生产环境中在我的 Rails 应用程序上运行 rspec 规范?

有人告诉我,除了测试之外,我不应该在rails_env中运行我的rspec规范。在生产或开发中运行规范的潜在问题是什么?我在两者中都运行规范。我通常在开发中运行规范,除非我正在测试使用Assets管道的东西。我为此切换到生产环境并花费15分钟预编译Assets。与我当前的方法相比,使用测试环境有什么优势吗?我搜索了答案,但没有任何内容解释为什么我不应该使用dev或prod。 最佳答案 在test环境中运行测试套件(例如rspec)旨在隔离资源以解决安全问题,尤其是数据库的完整性。测试通常会损坏或完全删除数据库中的数据。这同样适用于所
ruby-on-railsRailssectioncode中运rubyruby-on-rails-3testingrspec

ruby - 如何安全地让用户运行任意 Ruby 代码?

我意识到这听起来有点疯狂,但我正在做一个项目,我需要一个服务器来运行用户提供的Ruby代码并返回结果。我想防止这样的事情发生:system("rm-rf/")eval("something_evil")#etc...我确信一定有一些相当安全的方法可以做到这一点,因为它已经存在于tryruby.org等地方。非常感谢任何帮助,谢谢! 最佳答案 三个建议:1)看看Rubytaintlevels.这提供了一定程度的保护,防止eval('evil_code')类型的东西,等等。2)除非用户确实需要访问本地文件系统,否则请使用类似fakefs
rubysectionnoreferrercode

ruby - RSpec:使用线程进行测试

在RSpec中,我有创建新线程的函数,并在该线程内执行一些操作——在我的例子中,调用TCPSocket#readline。这是现在的功能:defreadThread.newdowhileline=@socket.readline#TODO:stuffendendend由于线程调度,如果这样写我的测试会失败:it"readsfromsocket"dosubject.socket.should_receive(:readline)subject.readend目前我知道解决这个问题的唯一方法是使用sleep0.1。有没有办法适本地延迟测试,直到该线程运行? 最佳
RSpecrubysectioncodesocketmultithreadingunit-testing

ruby - 使用安全转换验证使用 Ruby/OpenSSL 创建的 RSA 签名

我正在尝试为我的应用程序实现一个简单的许可key方案,但我遇到了重大障碍。我正在按照OpenSSLforLicenseKeys中的示例进行操作.自从该博文写于2004年并且OpenSSL在OSX上已被弃用后,我尝试使用SecurityTransformsAPI代替OpenSSL来完成许可证key验证。但是,我正在使用OpenSSL生成私钥和公钥;许可证key由Ruby网络应用程序使用私钥生成,该应用程序使用来自购买者电子邮件地址的SHA-256摘要的RubyOpenSSL包装器库。问题是,我所做的任何事情似乎都无法使用安全转换API验证的OpenSSL从Ruby生成签名。我正在处理的R
OpenSSLrubystrongerrorsignaturecocoalicensingrsa

ruby - 使用 Rack::Test 和 Sinatra 测试 Controller 实例变量

我有一个Sinatra应用程序,它根据用户是否登录以只读或可编辑的方式提供页面。Controller设置一个变量@can_edit,View使用它来隐藏/显示编辑链接。我如何在测试中测试@can_edit的值?我不知道如何在Rack::Test下获取Controller的当前实例。我使用class_eval来stubController中的logged_in?方法,但我不得不求助于检查last_response.body我的编辑链接以查看是否设置了@can_edit。如何直接测试@can_edit的值? 最佳答案 不幸的是,如果不修
ControllerSinatracodesectionRackrubytesting

ruby - Rspec:如何测试递归?

我想测试是否使用特定参数递归调用方法。我的方法:classRecursabledefrec(arg)rec(7)unlessarg==7endenddescribeRecursabledoit"shouldrecurse"dor=Recursable.new('test')r.should_receive(:rec).with(0).orderedr.should_receive(:rec).with(7).orderedr.rec(0)endend出乎意料的是,RSpec失败了:expected:recwith(7)once,butreceivedit0times知道我的方法有什么问
Rspecrubysectioncoderecrecursionmocking

ruby - 用 RSpec 包裹在 block 中的测试方法

在我实际操作的简化示例中,假设我有2次对数据库的调用:Repo.add(something_stringy)Repo.remove(something_floaty)我想对数据库调用使用mock,因为真正的调用将在别处进行测试:let(:repo){repo=double("Repo")repo.should_receive(:add).with(instance_of(String))repo.should_receive(:remove).with(instance_of(Float))repo}before{FakeKlass.const_set:Repo,repo}这一切都很好
RSpecblockcodeshould_receiveReporubymockingrspec2

arrays - 从每个数组中删除是否安全?

是否可以在通过each遍历Array时安全地删除元素?第一个测试看起来很有希望:a=(1..4).to_aa.each{|i|a.delete(i)ifi==2}#=>[1,3,4]但是,我找不到确凿的事实:是否安全(设计)从哪个Ruby版本开始它是安全的在过去的某些时候,它似乎是notpossibletodo:It'snotworkingbecauseRubyexitsthe.eachloopwhenattemptingtodeletesomething.documentation没有说明迭代期间的可删除性。我不是在寻找reject或delete_if。我想对数组的元素做一些事情,有
arrayscodesectionstackoverflowruby

ruby - Rails 测试显示 0% 全部通过时通过

我的Rails应用程序通过了测试,但随后显示0%通过。它是一个转换为3.1的Rails3应用程序。5tests,11assertions,0failures,0errors,0pendings,0omissions,0notifications0%passed如果我生成一个新的Rails3.1应用程序,它没有这个“通过”行。1tests,1assertions,0failures,0errors,0skips两者都在1.9.2p290下运行。我尝试删除test-unit但这似乎没有什么不同,我认为没有其他突出的原因会导致它。我猜有些事情正在触发使用不同的测试运行程序。这些是为我的应用安
过时Railscodetestprerubyruby-on-rails-3ruby-on-rails-3.1
20212223242526