程序员经验分享-hwhale

Ruby gem 是否存在像木马一样的风险?

2024-01-01

我正要安装一个我没听说过的人的 Ruby gem。但有些事情让我想到“这个人是谁?”。由于 gem 系统可以访问互联网,因此 Ruby gem 是否存在访问您计算机上的私有数据并将其传输到其他地方的风险?或者有针对这种情况的保护措施吗?


当然有。您正在计算机上安装软件,该软件以调用它的脚本/用户的权限运行。在纯 Ruby 中发现恶意代码可能比在二进制包中更容易。但如果您认为源代码检查是发现恶意代码的有保证的方法,请查看卑鄙的C大赛 http://underhanded.xcott.com/.

也就是说,如果您想编写恶意软件,有比 Ruby gems 更有效的交付系统。如果存在的实际恶意宝石数量为 0,我不会感到惊讶,因此该宝石是恶意宝石的概率同样为 0...

See: http://rubygems.org/read/chapter/14#page61 http://rubygems.org/read/chapter/14#page61

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

rubyonrails

ruby

security

rubygems

Ruby gem 是否存在像木马一样的风险? 的相关文章

  • SSL 速度:128 位与 256 位

    我决定使用 SSL 加密我的整个网站 即使实际上只有部分网站是必要的 最终结果是该网站现在有点慢 所以 我的问题是 我是否应该只加密网站的会员部分 请记住我在首页上有登录表单 我是否应该将加密降低到 128 位 如果站点总体较小 速度差异是

  • 使用 Paperclip 和 Multipart 请求将文件上传到 Rails JSON API 服务器

    我想将文件从 Android 客户端上传到 Rails JSON API 服务器 我正在从 Android 客户端发送一个 Multipart form 请求 如下所示 Content Type multipart form data bo

  • 在文档片段中查找注释或文本节点

    我必须清理 Nokogiri HTML DocumentFragment 文档 删除仅包含空格的注释节点和文本节点 这是一个例子 html p paragraph p p paragraph p p paragraph p doc Noko

  • 为什么 Google 的自定义搜索 API 提示我在使用 Ruby 客户端时缺少访问令牌?

    我正在尝试使用Google 的自定义搜索 API http code google com apis customsearch v1 using rest html通过Google API Ruby 客户端 http code google

  • 同源政策目的可疑

    正如我所读到的 同源策略是防止源自 邪恶 域 A 的脚本向 良好 域 B 发出请求 换句话说 跨站点请求伪造 玩了一下我了解到的Access Control Allow Origin标头和CORS据我了解 它允许从好域 B 指定服务器 域

  • Rspec:期望与期望与块 - 有什么区别?

    刚刚学习 rspec 语法 我注意到这段代码有效 context given a bad list of players do let bad players it fails to create given a bad player li

  • 从标记访问 json 属性 - gmaps4rails

    我正在升级到 gmaps4rails v2 我似乎无法从 javascript 访问标记 json 属性 这在我使用的先前版本 1 5 6 中有效 具体来说 内置控制器 users User all hash Gmaps4rails bui

  • 为什么 C# ProcessStartInfoRedirectStandardOutput 会导致 xcopy 进程失败

    这有点痛苦 因为我现在没有代码 但我会尽力解释 我有一个简单的 C 应用程序 它启动 Ruby 脚本 它还执行一些其他操作 因此它生成一个批处理文件并执行该文件 我正在使用 C 进程对象并设置以下内容 重定向标准输出 true 重定向标准错

  • Microsoft 帐户 JWT 身份验证令牌如何签名?

    在我的 Web 应用程序中 我需要验证从 Live SDK 5 6 获取的 JWT 身份验证令牌 不久前 这些令牌的签名是使用签名密钥的 Base64 编码标头 有效负载的 HMACSHA256 哈希 该签名密钥是应用程序秘密 来自 acc

  • 限制 Imagemagick 使用的空间和内存

    我在 Rails 应用程序上使用 Imagemagick 使用 rmagick 但我的服务器 Ubuntu 不是很大 当我启动转换进程时 Imagemagick 占据了我的服务器 30GB HDD 的所有位置 内存 我想限制内存和 tmp

  • 新 Rails 应用程序出现问题

    我刚刚创建了一个新的rails应用程序 在CL上 使用rails new 我使用的是4 2 6 但似乎在我对应用程序执行任何操作之前我遇到了错误 first config environments development rb 53 in

  • ActiveAdmin 注册页面和资源列表

    在使用ActiveAdmin register page and ActiveAdmin register 如何获取注册页面和资源的列表 假设您使用的是默认命名空间 admin 您可以对 ActiveAdmin 0 6 1 执行以下操作 r

  • Ruby openssl 文档 [关闭]

    Closed 这个问题正在寻求书籍 工具 软件库等的推荐 不满足堆栈溢出指南 help closed questions 目前不接受答案 有没有 Ruby 的在线文档openssl图书馆 我能找到的只是博客文章和第三方文章 而 rdoc 本

  • Ruby 中的方法和属性有什么区别?

    你可以给我一个例子吗 属性只是一个捷径 如果你使用attr accessor要创建属性 Ruby 只需声明一个实例变量并为您创建 getter 和 setter 方法 既然你要求一个例子 class Thing attr accessor

  • Rails 4 中如何使用 attr_accessible?

    attr accessible似乎不再在我的模型中工作 Rails 4 中允许批量分配的方法是什么 Rails 4 现在使用参数强 http edgeapi rubyonrails org classes ActionController

  • 如何监听第三方应用程序触发的数据库更改

    我需要将 Ruby on Rails 应用程序与第 3 方应用程序集成 该应用程序将共享一个公共 PostgreSQL 数据库 也就是说 Rails 应用程序和第 3 方应用程序将使用相同的 PG 数据库 是否可以在 Rails 应用程序中

  • Rails has_many 到 has_many 具有多个模型

    模拟以下情况的最佳方法是什么 Word belongs to wordable polymorphic gt true Phrase has many words as gt workable belongs to story Line h

  • 如何使用公共客户端颁发的令牌查询keycloak资源权限

    我有一个受 keycloak 保护的前端 Javascript 客户端 前端应用程序的 Keycloak 客户端类型为Public并打电话给blog gui 我还有一个受保护的 APIConfidential客户端名为 blog api 其

  • 从使用heroku发送的邮件中删除“via sendgrid.me”

    我正在使用免费的 sendgrid 计划从 Heroku 上托管的 Rails 应用程序发送电子邮件 我使用以下组合进行设置这些说明 http devcenter heroku com articles sendgrid and 本教程 h

  • HTTP 基本身份验证 + 访问令牌?

    我正在开发一个 REST API 计划将其与 Web 和 IOS 应用程序一起使用 我打算让这个 API 在一段时间内保持私有 私有意味着我只希望我的 Web 应用程序和 ios 应用程序访问该 API 我已经阅读了许多不同的身份验证方法

随机推荐

  • 如何在android中圆化textview一侧的角

    我想将文本视图的唯一一侧舍入 例如从左上角开始舍入 从右上角舍入一圈 我使用此代码 但这不起作用

  • 如何估计方法的执行时间?

    如果需要超过两秒才能完成并在另一个线程上重新启动它 我需要取消方法执行 那么 有没有什么方法 回调机制 HACK 我可以让方法通知我它超过了 2 秒的时间限制 在 C 中检查网络驱动器是否存在并超时 https stackoverflow

  • 具有特定 JsonConverter 的 MVC3 控制器

    这是设置 我有一些 MVC 控制器 旨在由 jQuery ajax 请求使用 一个正常的请求看起来有点像这样 ajax Solicitor AddSolicitorToApplication data putData type POST c

  • Groovy JSONBuilder 问题

    我正在尝试将 JsonBuilder 与 Groovy 结合使用来动态生成 JSON 我想创建一个 JSON 块 例如 type type urn value myCustomValue1 urn type urn value myCust

  • 在 Google Maps API v3 中启用新的 GL 渲染?

    最近 Google 在 GMaps 平台上推出了 Maps GL 我们有一个主要基于地图的 HTML5 应用程序 我们很乐意尝试基于 WebGL 的新地图渲染 我们已经注意到潜在的性能优势 有谁知道如何将 API v3 切换到 Maps G

  • JavaScript try-catch 忽略预期的偶然错误是不好的做法吗?

    在 JavaScript 中 使用 try catch 块并忽略错误而不是测试块中的许多属性是否为 null 是错误的吗 try if myInfo person name newInfo person name myInfo person

  • VS 2015 上的平台工具集更改

    我需要在 VS 2015 上进行一些汇编编码 为此我需要使用一个包含某些 C 函数的包含文件 该文件在 VS 2012 和 2013 上完美运行 但由于 VS 2015 上的一些库更改 据我所知 它在链接过程中出现错误 因此 建议我将平台工

  • Android 的 Html.escapeHtml 和 TextUtils.htmlEncode 之间有什么区别?我什么时候应该使用其中之一?

    Android 有两种不同的方法来转义 编码字符串中的 HTML 字符 实体 Html escapeHtml String http developer android com reference android text Html htm

  • 如何查看另一个 php 文件中定义的变量?

    我在所有 php 文件中使用相同的常量 我不想在我的所有文件中分配此变量的值 因此 我想创建一个 parameters php 文件并在那里进行分配 然后在所有其他文件中我include parameters php 并使用 paramet

  • Chrome 无法正确渲染 div 中的 span

    当跨度嵌套在具有不同背景的 div 中时 其上方和下方会出现一个小间隙 FF 不会这样渲染 这是html div style background color magenta span style background color cyan

  • IBM Worklight - 无法在 Dojo 应用程序中加载 index.html

    我已经使用 Dojo 库创建了示例 Wokrlight 项目 默认模板项目 Android 版本的应用程序在 Android 模拟器中运行良好 显示 index html 的内容 但是当我在设备中运行相同的应用程序时 它首先显示 IBM 启

  • List.AddRange() 线程安全吗?

    我可以在不锁定的情况下从多个线程安全地调用 List AddRange r 吗 如果不是的话 我会遇到什么样的麻烦呢 No 它的文档 http msdn microsoft com en us library 6sh2ey19 aspx没有

  • LNK1169 找到一个或多个多重定义的符号。我知道这可以被认为是重复的,但我找不到任何可以解决我的问题的东西[重复]

    这个问题在这里已经有答案了 我有一个老师需要的头文件 我正在使用全局变量 因此我可以将值从一个函数移动到另一个函数 查了一下问题 有人建议使用命名空间 那没有用 此外 我像其他人推荐的那样添加了一些守卫 但这也没有帮助 我有多个文件和标头中

  • IE8 标准不支持 array.map 函数?

    我没有 IE8 所以我正在从 IE10 中测试 IE8 当我切换到文档模式的 IE8 标准 时 数组对象的 javascript 映射函数给出 javascript 错误 对象不支持属性或方法 映射 但是当我切换到文档模式的 标准 时 没有

  • Java中的命令行查询

    我正在访问 MongoDB 并且希望在 Java 中重用典型的命令行查询 我知道可以使用 BasicDBObject 但我想使用如下命令行查询 db MyCollection find 我现在尝试使用数据库的 command 方法 Mong

  • 如何在新闻通讯中创建悬停效果?

    我正在创建一份时事通讯 并且我希望面板可以在鼠标悬停时更改背景颜色 鉴于时事通讯不会有标题 我正在内联定义所有样式 我很确定大多数流行的邮件客户端都会阻止 JS 所以我想知道是否可以在 style 属性中定义悬停效果 或者有没有其他方案可以

  • sed - 删除破折号之前的所有字符

    我有一个文件名列表 我想删除第一个实例之前的所有字符 因此 之前 列表中的以下名称将显示为 之后 列表中的名称 Before Adam James Welcome Home txt Mike Harry One Upon A Time tx

  • 将彩虹颜色映射到 RGB

    假设我有一个带构造函数的 RainbowColorsMapper 类RainbowColorsMapper int n 其中 n gt 2 现在我想要使用该方法获得从红色到紫色的彩虹颜色的连续映射mapper getColor int nu

  • C# 泛型及其具体实现

    是否可以在 C 中创建泛型方法并为给定类型添加具体实现 例如 void Foo

  • Ruby gem 是否存在像木马一样的风险?

    我正要安装一个我没听说过的人的 Ruby gem 但有些事情让我想到 这个人是谁 由于 gem 系统可以访问互联网 因此 Ruby gem 是否存在访问您计算机上的私有数据并将其传输到其他地方的风险 或者有针对这种情况的保护措施吗 当然有

热门标签