Ruby on Rails เว็บเฟรมเวิร์คที่ได้รับความนิยมค่อนข้างสูงในงานสาย start up ขณะนี้ได้พัฒนามาถึงเวอร์ชั่น 7.1.2 ได้เผยแพร่ milestone สำหรับการอัพเกรดใหญ่เป็นเวอร์ชั่น 8.0.0 ผ่าน github ของโครงการ โดยมีรายละเอียดของ feature เพิ่มที่น่าสนใจดังนี้

David Heinemeier Hansson (@dhh) ผู้ร่วมก่อตั้ง Basecamp และผู้สร้าง Ruby on Rails ประกาศถอดภาษา TypeScript ออกจากโครงการ Turbo ที่เร่งความเร็วหน้าเว็บด้วยการลดการโหลดจากการกดลิงก์หรือส่งข้อมูลฟอร์ม

Hansson ระบุในประกาศว่าเขาไม่เคยชอบ TypeScript ตั้งแต่แรก และไม่ชอบตลอดที่ใช้งานมา 5 ปี แต่กลับชอบ JavaScript มากกว่าและนับว่าเป็นภาษาที่ชอบเป็นรองเพียง Ruby เท่านั้น และข้อเสียต่างๆ ของ JavaScript ก็ถูกแก้ไปเยอะแล้ว โดยเฉพาะระบบ class ขณะที่ภาษา TypeScript นั้นเพิ่มขั้นตอนการคอมไพล์เข้ามาและบังคับใช้ type จนวุ่นวายและสุดท้ายในเคสยากๆ ก็ต้องใช้ any

บริษัทเอกชน 8 บริษัทที่ใช้งาน Ruby on Rails เป็นหลัก ได้แก่ Cookpad, Doximity, Fleetio, GitHub, Intercom, Procore, Shopify, และ 37signals ประกาศจัดตั้งมูลนิธิไม่แสวงผลกำไร The Rails Foundation โดยให้คำอธิบายไว้ว่ามูลนิธินี้จะมุ่งเน้นพัฒนาและปรับปรุงสภาพแวดล้อม (ecosystem) โดยรวมให้ดีขึ้นทั้งหมดและดึงดูดนักพัฒนารายใหม่ให้เข้ามาใช้มากขึ้น

มูลนิธิจะได้รับเงินทุนตั้งต้น (seed funding) 1,000,000 USD จากทั้ง 8 บริษัทและค่าบำรุงรายปีรวมกันปีล่ะ 400,000 USD ในปีถัดไปทุกปี มีตัวแทนแต่ล่ะบริษัทนั่งเป็นบอร์ดบริหาร และมี David Heinemeier Hansson ผู้สร้าง Ruby on Rails จาก 37signals เป็นประธานบอร์ด

Ruby on Rails ออกเวอร์ชันใหญ่ 7.0 ซึ่งมีการเปลี่ยนแปลงสำคัญ 2 เรื่องคือ ไม่ต้องผูกกับโลกของ Node.js อีกแล้ว และเปลี่ยนระบบ front-end มาเป็นตัวใหม่คือ Hotwire

David Heinemeier Hansson หรือ DHH ผู้สร้าง Rails อธิบายว่าโครงสร้างของภาษา JavaScript ในอดีตเป็นปัญหาของโปรแกรมเมอร์มาก ทางออกจึงเป็นการเขียนภาษาอื่นแล้วแปลงเป็น JavaScript (เรียกว่า transpiling เช่น CoffeeScript หรือ Babel) ที่ช่วยให้เขียนโค้ดง่ายขึ้น แต่ก็ต้องแลกมาด้วยความซับซ้อนที่เพิ่มขึ้น

เฟรมเวิร์ค Ruby on Rails ออกรุ่น 5.0 เพิ่มฟีเจอร์สำคัญสองอย่างได้แก่ Action Cable และ API mode

Action Cable เป็นเฟรมเวิร์คสำหรับการรองรับ WebSocket ใน Rails และเพื่อรองรับ WebSocket เซิร์ฟเวอร์สำหรับโหมดพัฒนาจะกลายเป็น Puma แทน Webrick

API mode โหมดสำหรับรัน Rails โดยไม่มีหน้าเว็บ ตัวเฟรมเวิร์คจะบางลงและทำงานกับ JSON เป็นหลัก

นอกจากนี้ Rails 5.0 ยังมาพร้อมกับ Turbolinks 5.0 เฟรมเวิร์คสำหรับการพัฒนาเว็บแอปพลิเคชั่นแบบหน้าเดียวโดยไม่ต้องโหลดหน้าเว็บใหม่

บริษัท 37signals ผู้สร้างเว็บแอพด้านบริหารโครงการชื่อดัง Basecamp (และเฟรมเวิร์ค Ruby on Rails ที่โด่งดังก็ถือกำเนิดขึ้นจากการสร้าง Basecamp นี้เอง) ใช้โอกาสครบรอบ 15 ปีของบริษัท เปลี่ยนชื่อตัวเองเป็น Basecamp เหมือนกับชื่อผลิตภัณฑ์หลัก

นอกจากนี้ บริษัทยังประกาศว่าต่อจากนี้ไปจะทำตลาดผลิตภัณฑ์ตัวเดียวคือ Basecamp และจะเลิกทำเว็บแอพตัวอื่นๆ อย่าง Backpac, Campfire โดยให้เหตุผลว่าต้องการโฟกัสกับผลิตภัณฑ์หลักของบริษัทเพียงเรื่องเดียว (ปัจจุบันมีผู้ใช้ 15 ล้านราย)

37signals เป็นบริษัทที่ให้ความสำคัญกับวัฒนธรรมการทำงานที่คล่องตัวแต่ได้ผล บริษัทพิมพ์หนังสือชื่อ Rework ที่กล่าวถึงแนวคิดเรื่องนี้โดยเฉพาะ และได้รับการแปลเป็นภาษาไทยแล้ว

ปัญหาความปลอดภัยจากการออกแบบของ Ruby on Rails (RoR) อาจจะทำให้หลายบริการตกอยู่ในความเสี่ยงที่แฮกเกอร์สามารถนำ cookie เดิมมาใช้งานซ้ำได้ เพราะการจัดเก็บข้อมูลซ้ำ ทำให้เว็บแอพพลิเคชั่นที่ไม่ระวัง กลับใส่ข้อมูลการล็อกอินเอาไว้ใน CookieStore ทำให้แฮกเกอร์ที่ดักจับ cookie จากเบราว์เซอร์ผู้ใช้ได้สามารถนำกลับมาใช้ใหม่ได้เรื่อยๆ แม้ว่าผู้ใช้จะล็อกเอาต์ไปแล้ว

นักวิจัยด้านความปลอดภัย G.S. McNamara ค้นพบช่องโหว่ภายในฟังก์ชัน CookieStore ที่ใช้ในการจัดการเซสชั่นโดยจะทำการแฮชเซสชั่นดังกล่าวนั้นในรูปแบบของคุกกี้ และไม่มีการเก็บเซสชั่นใดๆ ลงในฐานข้อมูล ซึ่งอาจส่งผลให้ผู้ประสงค์ร้ายสามารถขโมยคุกกี้ได้

ช่องโหว่ของ Ruby on Rails ที่ถูกค้นพบในเดือนมกราคมปีนี้ กลายเป็นช่องทางสำคัญให้แฮ็กเกอร์เจาะเข้าไปยังเซิร์ฟเวอร์ที่ติดตั้ง Rails เอาไว้ และเปลี่ยนเซิร์ฟเวอร์เหล่านี้เป็น botnet สำหรับอาชญากรรมคอมพิวเตอร์ด้านอื่นๆ (เช่น มัลแวร์) ต่อไป

ช่องโหว่ตัวนี้ของ Rails มีความรุนแรงในระดับสูง (critical) เพราะเปิดโอกาสให้แฮ็กเกอร์ส่งโค้ดอันตรายเข้ามารันบนเซิร์ฟเวอร์ได้จากระยะไกล ทางทีมพัฒนา Rails ออกแพตช์แก้นานแล้วแต่ก็ยังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้อัพแพตช์ตาม และกลายเป็นเหยื่อของช่องโหว่นี้ในที่สุด

ผู้ใช้ Rails ควรอัพเกรดเป็นเวอร์ชัน 3.2.11, 3.1.10, 3.0.19, 2.3.15 ขึ้นไปครับ

GitHub เว็บฝากซอร์สโค้ดชื่อดังโดนแฮ็กเข้าเสียแล้ว โดยผ่านช่องโหว่ของโค้ดที่เขียนด้วย Ruby on Rails

เรื่องนี้จะซับซ้อนกว่าการแฮ็กทั่วๆ ไปอยู่สักหน่อย เพราะผู้ใช้ชื่อ homakov ได้แจ้งข่าวกับทีมงานของ GitHub ไปเมื่อ 3 วันก่อนว่าพบช่องโหว่ในระบบ ซึ่งทั้งสองฝ่ายก็ทำงานร่วมกันเพื่อปิดช่องโหว่นี้จนสำเร็จ