既知の問題一覧

[boringmachine]

1, ブルートフォース攻撃
対応: 認証上限回数

2, 各コントローラのcreateアクションの連続的実行
対応: ある対象が最後にcreateで作成した時間と現在時間の差が一定を超えるまで作成拒否

3, youtubeリンクの大量貼り付け
対応: 一番最初のyoutubeリンク以外をフレーム表示しない。

4, 登録メールアドレスの偽証
対応: 登録確認のメール送信。

5, 4による第三者中継
対応: troll対策

[boringmachine]

6, 投稿一覧で表示する投稿の条件のミスによって他ユーザの投稿が表示される。
対応: post.rbの修正

7,グループやトピックの可視性の定義が厳密でない。
対応: publicとclosedに分け、グループとトピックを1対多にし、グループの可視性がトピックへ適用されるよう変更。

8, 不可視なグループを閲覧可能など。
対応: グループに招待機能をつける。

9, IDが推測可能。
対応: ユニークで、一定形式を持つ、長い乱数

10, パスワード紛失時の対応が未定義。
対応: 回避 -> 紛失時非対応, 軽減 -> メール（またはSMS）を用いた再発行手順

11, 認証失敗可能回数上限
対応: deviseの機能

12, ブラウザから任意のスクリプトの実行が可能
対応: ？

13, 存在しないIDをセットし、リクエストを送信することによる問題
(理想的には、特定のDBMSに依存せずに対応させる)

14, destroyアクションで誤ってデータを削除したとき
対応:削除フラグで消したように見せかける。

15, グループとトピックが多対多であることの保守性低下の問題
対応: 1対多に修正する

[boringmachine]

または、可視性の機能自体をなくし、すべてpublicが前提になるようにする。

[boringmachine]

16, メール通知機能そのものが鬱陶しい。
対応 : メール通知オンオフの切り替えを可能にする。何を通知できるのかを詳細にできれば利便性は上がるが、複雑性は増える。

[boringmachine]

17, グループに対応していないトピックへの投稿。
対応: グループとトピックを1対多に変更。

18, テストコードが書かれていないため、修正により仕様通りの動作をしているか論理的な保証がない。
対応 : RSpecなど使用の検討。

[boringmachine]

19, ぱっと見て、どう使えばいいのかわからない。
対応 : アフォーダンス、 Q&A