Zakładając (błędnie), że istnieje coś takiego jak 100% bezpieczne aplikacje webowe.
Tak, przyjąłem to błędne założenie dla uproszczenia wektora flejma.
Oraz: nie wiem jak Was, ale mnie przy całej sprawie najbardziej zbulwersował nie wektor ataku (był naturalną konsekwencją odkrycia słabości parsowania yamla w railsach), ale to że całe rubygems są trzymane i rozwijane przez dwóch ochotników w ich wolnym czasie. Skandal. To, że to wszystko od tylu lat stoi i jest całkiem reliable czyni ich prawdziwymi bohaterami naszego środowiska. Tylko że ja nie chcę więcej bohaterów, chciałbym żeby dało się jakoś dotować utrzymywanie i rozwój serwisu który jest jednym z podstawowych filarów naszej pracy zarobkowej.
Zapytałem o to zresztą na twitterze parę dni temu, wygląda na to że będzie jakaś integracja z Gittipem: https://twitter.com/_tomash/status/296669316525465600
OT from cpt obvious- żadna technologia nie zwalnia Cię z myślenia - http://www.reddit.com/r/Python/comments/17rfh7/warning_dont_use_pip_in_an_untrusted_network_a/
Zakładając (błędnie), że istnieje coś takiego jak 100% bezpieczne aplikacje webowe.[/quote]
Istnieją takie aplikacje - stoją na serwerze odłączonym od sieci i/lub zasilania. Oprócz tego, że są w 100% bezpieczne są też zupełnie bezużyteczne.
Nadal nie ma 100% bezpieczeństwa. Można podszyć się pod admina i wysłać komuś mejla, żeby podłączył zasilanie i kabel sieciowy 
Zawsze można też wejść w garniturze do firmy z jakimś hakiem za pazuchą, udać się do serwerowni, jak gdyby nigdy nic, uderzyć kilka razy i aplikacja na pewno padnie.
Dalej w temacie dziur, tym razem wykorzystanie Mysql dla którego 0=“some string” to true do resetowania haseł:
http://www.phenoelit.org/blog/archives/2013/02/05/mysql_madness_and_rails/index.html