Rails 2.3 Digest Authentication Bug
Posted: June 3rd, 2009 | Author: gozali | Filed under: Programming | Tags: bug, ruby on rails | No Comments »Nate menemukan sebuah bug yang diyakini dapat menjadi sangat penting untuk ditangani bagi siapapun yang menggunakan digest authentication di Rails 2.3 dengan dengan kode http_authentication.rb yang baru dan mengikuti contoh sederhana dari rdoc, atau tulisan di blog ruby on rails ini.
Bug tersebut memungkinkan seseorang dapat masuk ke halaman yang dilindungi password hanya dengan mengirimkan request nil username / password atau username dan password yang salah.
Contoh halaman yang terkena bug tersebut : http://authbroken.heroku.com/. Tidak usah ketik username dan password. Cukup tekan enter. Kita akan mendapatkan halaman yang dilindungi password.
Bagi anda yang terkena dampak bug tersebut, segera patch. Nate telah membuat patch tersebut, silakan akses halaman github ini.
Michael Koziarski telah memberikan klarifikasi mengenai hal tersebut, dan mengatakan bahwa Rails Core team telah mengetahui bug ini sebelumnya dan sedang berupaya memperbaiki bug tersebut dalam waktu 24 jam.
