Diaspora存在哪些安全问题？

他们后来修补了其中的许多漏洞，但整个项目几乎包含了书中几乎所有基于Web的安全漏洞。以下是从他们的alpha代码发布的第一天开始出现的问题的快速概述：

1. 他们从未验证特定用户是否有权限执行任何操作。因此，虽然用户可以转到/image/123/delete/删除自己的图像（其ID恰好为123），但他们可以手动输入URL /image/1/delete/来删除ID为1的图像，即使该图像不是他们自己的。
2. 他们在Ruby on Rails中使用了一种快捷功能，允许您将POST的属性批量分配给数据库表，而无需验证这些属性实际上在表单中。因此，虽然个人资料更新页面可能只有更改头像图像和个人简介描述的字段，但是任何具有一点专业知识的人都可以在将数据发送到服务器之前操纵POST数据，并发送列/值对，例如用户名、密码、会话ID等。结合第1点，如果您知道URL，您可以修改任何人的数据，因此可以将任何人的私人信息设置为您想要的任何内容。
3. 他们在后端使用MongoDB。对于未经了解的人，Mongo使用Javascript进行某些查询功能。他们接受原始搜索查询字符串，并只针对其Mongo后端执行它们，这将允许发送格式良好的Javascript作为查询的任何人都可以对数据库进行任何想做的事情。

如果您对技术细节感到好奇，请随意自我学习。