kudojp / dietapp-rails2020 Goto Github PK

This is a SNS app where you can post reports of your daily meals. This has features including facebook authentication, following other users, favoriting posts, and voting on posts of others.

Ruby 71.04% JavaScript 5.32% HTML 22.93% SCSS 0.71%

dietapp-rails2020's Introduction

Hi there 👋

🏆 My certificates

AWS Certified Solutions Architect – Professional (2023.4)

Here is the badge.

AWS Certified Solutions Architect – Associate (2022.12)

Here is the badge.

Google Cloud Certified, Professional Cloud Developer (2021.7)

Here is the certificate.

Udacity Data Scientist Nanodegree (2019.5)

Udacity Data Analyst Nanodegree (2018.11)

dietapp-rails2020's People

Contributors

Stargazers

Watchers

dietapp-rails2020's Issues

退会(Cancel Account)ができない

概要

headerのドロップダウンメニューからCancel Accountを押して表示される退会ページで「退会」ボタンを押しても退会できない

エラーログの肝

2020-05-18T11:31:29.635858+00:00 app[web.1]: [f240f354-35d8-48d0-a675-571318a1ca86] ActiveRecord::InvalidForeignKey (PG::ForeignKeyViolation: ERROR:  update or delete on table "meal_posts" violates foreign key constraint "fk_rails_333bcce849" on table "food_items"
2020-05-18T11:31:29.635859+00:00 app[web.1]: DETAIL:  Key (id)=(74) is still referenced from table "food_items".

MealPostの日時選択のUI改善

概要

日時入力しなければならないことがわかりにくい。
元々は現状の「食べた日時を選択」の部分だけが表示されていて、これを押したらカレンダーがポップアップするようにしたい。

現在のUI

MealPostカードに「いいね」「悪いね」した人の人数を表示したい

MealPostカードに「いいね」「悪いね」した人の人数を表示したい
0ならリンクを無効にしたい

フォローしているユーザーのunfollowができない

概要

アンフォローできない

ログ

Started DELETE "/relationships/2" for ::1 at 2020-06-24 23:02:12 +0900
Processing by RelationshipsController#destroy as JS
  Parameters: {"commit"=>"Unfollow", "id"=>"2"}
  User Load (0.3ms)  SELECT "users".* FROM "users" WHERE "users"."id" = $1 ORDER BY "users"."id" ASC LIMIT $2  [["id", 1], ["LIMIT", 1]]
  Relationship Load (6.7ms)  SELECT "relationships".* FROM "relationships" WHERE (2) LIMIT $1  [["LIMIT", 1]]
  ↳ app/controllers/relationships_controller.rb:35:in `destroy'
Completed 500 Internal Server Error in 13ms (ActiveRecord: 6.9ms | Allocations: 3151)


  
ActiveRecord::StatementInvalid (PG::DatatypeMismatch: ERROR:  argument of WHERE must be type boolean, not type integer
LINE 1: ...ECT "relationships".* FROM "relationships" WHERE (2) LIMIT $...
                                                             ^
):
  
app/controllers/relationships_controller.rb:35:in `destroy'
rStarted DELETE "/relationships/2" for ::1 at 2020-06-24 23:04:49 +0900
Processing by RelationshipsController#destroy as JS
  Parameters: {"commit"=>"Unfollow", "id"=>"2"}
  User Load (0.2ms)  SELECT "users".* FROM "users" WHERE "users"."id" = $1 ORDER BY "users"."id" ASC LIMIT $2  [["id", 1], ["LIMIT", 1]]
Completed 500 Internal Server Error in 133ms (ActiveRecord: 21.9ms | Allocations: 60012)


  
NoMethodError (undefined method `int' for #<RelationshipsController:0x00007fe10bf45cb0>
Did you mean?  in?):

OAuth認証の脆弱性確認

#4 で出したプルリクではOAuthでUser認証している。これが問題ないか検証する、問題があれば対処する。

参考

「単なるOAUTH 2.0を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる」について

既にFacebook認証をしているUserがでFacebookで登録しようとするとログイン状態になる

サインインページに飛ばして、「あなたは既に登録済みです」というメッセージを表示する

同学，您这个项目引入了757个开源组件，存在27个漏洞，辛苦升级一下

检测到 kudojp/DietApp-Rails2020 一共引入了757个开源组件，存在27个漏洞

漏洞标题：serialize-javascript 代码问题漏洞
缺陷组件：[email protected]
漏洞编号：CVE-2020-7660
漏洞描述：Verizon serialize-javascript是美国威瑞森电信（Verizon）公司的一款支持将JavaScript序列化为 JSON超集的软件包。
serialize-javascript 3.1.0之前版本中存在代码问题漏洞。远程攻击者可借助index.js文件中的‘deleteFunctions’函数利用该漏洞注入任意代码。
国家漏洞库信息：https://www.cnvd.org.cn/flaw/show/CNVD-2020-53801
影响范围：(∞, 3.1.0)
最小修复版本：3.1.0
缺陷组件引入路径：[email protected]>@rails/[email protected]>[email protected]>[email protected]
[email protected]>@rails/[email protected]>[email protected]>[email protected]
[email protected]>@rails/[email protected]>[email protected]>[email protected]>[email protected]

另外还有27个漏洞，详细报告：https://mofeisec.com/jr?p=i6c630

Home画面の「Your Upvotes」「Your Downvotes」へのリンクが無効

MealPostController#upvoted_indexとMealPostController#downvoted_indexにはbefore_action :authenticate_user!, only: %i[create destroy]が定義されていないため、current_userがnilになっているのが原因？

MealPost#scoreが高負荷なので、なんとかする

#2 (comment) で指摘いただいた箇所を実装する。

def score
  votes.all.map { |v| v.is_upvote? ? 1 : -1 }.sum
end

[ただの豆知識] 規模が小さいうちはこれでいいですが，これはかなり負荷が高いので，大規模だとバッチ処理化する必要があります。
あと，直接 ActiveRelation の sum よべなかったっけ？
SQL の集計関数を直接使うっていう高速化方法もあります

クラッシュレポートサービスの導入

概要

クラッシュレポートサービスを導入すべし

背景

#4 (comment)

用途例

Userテーブルにデータ不整合があった場合((provider, uidの組み合わせが被るなど)にアプリケーション上ではエラーを吐かず処理を続けるが、クラッシュレポートサービスにはログを飛ばす
その他いろいろあるはず

技術選定

bugsnag (@azumag さんおすすめ)
errbit

パスワードとパスワード確認が空白のまま更新ボタンを押せる

#8 の実装時に(そんなにクリティカルじゃないので)skipした問題

既にパスワードを設定済みのuserがEdit Passwordページでpasswordとpassword confirmationを空にして正しいcurrent passwordのみを入力してsubmitしてもエラーを吐かない(ただしencrypted_passwordの更新もされない)
update_with_passwordの実装が問題
- heartcombo/devise#2349 の挙動が原因。
- update_with_passwordは(以下のページのように)、passwordではなくそれ以外の属性を更新したい際のリクエストの処理にも利用されるメソッドであり、そのように実装されているからである。

kudojp / dietapp-rails2020 Goto Github PK

dietapp-rails2020's Introduction

Hi there 👋

🚀 My open source softwares

🌱 My personal projects

📚 My blog posts

🎤 My presentations