Ruby on Rails源代码安全/混淆
我刚刚开始使用Ruby on Rails开发,我有一个关于源代码“隐私”的问题。
根据我目前所知( 我尚未完成部署,仅在本地开发环境中使用RoR ),在部署RoR应用程序时,所有源代码在服务器上都是“可见的”?
我该如何保护我的代码; 可以这么说? 保护我的意思是,主要目的是某人( 例如RoR提供商的服务器管理员 )无法通过轻松搞清楚代码中的哪个地方来“破坏”代码。
像Shopify,Yellowpages等使用RoR的网站如何确保他们的代码不被“破坏”?
更新我真正想要的是,假设我有一些代码正在进行信用卡交易,我不希望一些流氓员工阅读“纯文本源代码”并破坏我的网站,比如通过阅读我的源代码然后向所有已注册用户收取10美元的费用。 我该如何防止这种事情发生?
与Matt Briggs相似的是,如果你不信任你的网络主机,你就是在解决错误的问题。如果你的网站主机想要窃取你的数据,削弱你的网站,重定向你的用户等,没有什么可以阻止他们。 即使代码是用汇编程序编写的完全编译的二进制代码,您的管理员仍然可以找到黑客,替换资源或完全替换您的代码。 故事的道德,找到你信任的网络主机,不要费心混淆你的代码
在一天结束时,有信任。 如果你的管理员想要搞砸你,他会,并且混淆不会阻止他。
我认为这就是你要找的东西
我非常怀疑一个信誉良好的托管服务将摆弄你的代码。 他们忙于运行他们的服务器。 如果他们愿意,你可以做的就是阻止他们。 代码混淆(使用任何语言)是一件很愚蠢的事情。
关于您的安全问题,我希望您不会在您的网站上存储任何信用卡信息。 您必须遵守PCI标准才能做到这一点,这不是一件容易的事。 存储CC信息而不符合PCI标准是非法的。
因此,您必须使用支付网关(如PayPal或Authorize.net)进行付款,我相信用户将能够看到他们收取的费用。
托管公司将永远不会触摸或调查您的代码,除非您正在做的事情伤害服务器(如无限循环,吞噬所有CPU),甚至在这种情况下,他们将只是阻止该页面或url。
我可以想象,如果你将你的应用程序部署到一个公司的内部网,并且他们也有他们的开发人员,那么他们可能会害怕放弃维护和支持费用,因为他们会自己接管。 但是那些你用合同覆盖的东西。
直接访问您的ruby源代码的人应该是同事或合作伙伴,如果有明确的业务关系,通常这种业务关系更有价值。 如果您不信任您的同事或与您合作的人,那么我认为您应该重新考虑您的立场。
我甚至认为与客户尽可能地松散(这里是来源,你可以根据需要编辑它),通常会让他们更信任你,让他们更有可能给你回电话。