kawasaki.rb #120(オンライン)を開催しました #kwskrb

2023年5月24日(水)に, Discord にて kawasaki.rb #120 を開催しました。

kawasaki.rb #120 (オンライン開催) (2023/05/24 19:15〜)

Sustainable Web Development with Ruby on Rails 読書会

今回より、書籍「Sustainable Web Development with Ruby on Rails」を読み進めていきます。

Sustainable Web Development with Ruby on Rails

今回は「Routes and URLs」を読み進めていきました。この章では可能な限りRoutesの設定はRailsの標準である resources を使うべき、という説明がされていました。Railsでは get などを使用して手動でルートを設定することもできますが、これを使用することで他の開発者にも判断を強いる結果になるため、これを防ぐために標準の機能を使うべきであるという主張でした。

少し脇道に逸れて、Railsで数値の連番をIDにしURLに含めるのは、容易に攻撃方法が想定できて危険なのではないか?という話をしていました。

IDにUUIDを使うなどの話もしましたが、別の例として、Railsでマルチテナントを構築している例として、SmartHRではPostgreSQLのRow Level Securityを使用してデータベースレベルで防止しているそうでした。

Active RecordでRow Level Securityを使って安全にテナント間のデータを分離する - SmartHR Tech Blog

次回は「Vanity URLs Should Redirect to a Canonical Route」から読み進めていきます。

次回予告

次回は6/22 (水)に開催します。connpass及びTwitterでご連絡いたします。また、Slackもあるのでよければご参加ください。

書いた人

https://twitter.com/Peranikov