ruby-dev

卜部です。


Yukihiro Matsumoto さんは書きました:
> * セーフレベル4はほとんど使われていない

結局ここが一番意識が違うところです。ほとんど使われてないとか言うにはあま
りに使われています。
http://www.google.com/codesearch?q=%22%24SAFE+%3D+4%22+lang%3Aruby

> * 使われているtDiaryでも「第三者からの任意のコードを実行する」
>   というわけではない(まだHikiは未確認だけど、おそらく状況は
>   類似)
>   

ホスティングしてれば第三者な可能性があります。
また、間違いなく任意のコードではあります。

> ということを考えると、影響度は限定的だと考えます。

ということを考えれば影響度は限定的ではありません。

> まず、重要なのは
>
> * 1.8からセーフレベル4は削らない(削れない)
> * 現在のセーフレベル4には(残念ながら)穴がある
> * 開発を行わなければ穴はふさがれない
> * 我々からの情報に頼らなくても穴を発見することは(実は)比較的
>   容易
>   

確認したいのですがまつもとさんの中では開発と保守ってのは渾然一体なのですね?
俺(や、おそらく多くの職業プログラマはそうだと思いますが)はその二つは一応
線を引いて考えているので。

> ということです。このことから、1.8におけるセーフレベル4の穴を
> 塞いで安全性を確立するためには、なんらかの改善を行う必要があ
> ります。そのための作業の場所ですが、trunkや別バージョンで作業
> してもセーフレベルの本質が変わるわけではないので、その作業に
> 関する情報そのものが1.8に対する0-dayアタックの引き金になる可
> 能性を否定できません。
>   

trunkでセーフレベルを考え直すとか言ってたのはもっとがらっと変えるんだと
思ってたんですが、セーフレベルの本質に踏み込んだ改善はなされないつもりな
んですか。だとしたらあんまり意味ないなあ。

> 結局、ありえる選択肢は、セーフレベル4の危険性をどれだけと見
> 積もるかによって応じて
>
> 危険性を重視するケース(セーフレベル4は要らない派)
>
> * 使うなと厳命する。使っている人には「もうすぐ消えるから使わ
>   ないように書き換えろ」と脅す
> * もっと過激に1.8からも削っちゃう
>
> - デメリット: tDiaryやHikiの開発者にとっては青天の霹靂。迷惑
>   この上ない。
> - デメリット: 今ある機能を削るのは1.8のメンテポリシーにも反
>   する。
>   

なぜ、俺の提案した「trunkからは削る/1.8.7までは残す」ってのは選択肢にす
ら登ってないんですか?

> 危険性をそれなりに重視するケース(セーフレベル4は残す派)
>
> * 開発者をつのって非公開で開発。ある程度完成度が高まったら一
>   気にコミット。
>
> - デメリット: 非公開での開発がうまくいったためしがない
> - デメリット: こちらかは0-dayアタックの情報をもらす心配はな
>   いが、自力で穴を発見する攻撃に対しては無力
>
> あんまり使ってないから危険はそんなに気にしないケース
>
> * とにかくセーフレベル4をもうちょっとマシになるように
>   (ruby-devで)開発を継続する
>
> - デメリット: セーフレベル4の脆弱性情報が開発過程で公開され
>   ることになる
>
> くらいじゃないかと。私は最後の「公開で開発」派です。その背景
> は、上で述べたように
>
> * あまり使われていないので深刻度は低い
> * 非公開での開発は独り善がりになりがちでむしろトラブルを呼ぶ
>
> というものです。ただ、ドキュメントで公式に「セーフレベル4の
> 完成度は低く、信頼するのはいかがなものか」ということは明記し
> た方がよいと思います。さっき確認したらFlanagan本にはそう書い
> てありました。さすがDavid。
>   


まず、あまり使われてないってのは事実と反するので、全部公開して保守するの
だけは絶対反対です。そこは引けません。

新規開発部分に関してはばっさり削っていちから作り直すのだと思っていました
から、現在の実装とは異なる仕組み(たとえばtryrubyのようなもっとマシなサン
ドボックスを提供するとか)の造り込みは別に公開でやってもいいと思うわけで
すが、まつもとさんにその気がなくて、ちょっとセーフレベル4を弄ってお茶を
濁す程度の話なら、確かに公開するのが危険なのは頷けます。

したがってあんまりやる気がないなら全部非公開の案が一番マシだと思わざるを
得ません。

Thread

Prev Next

In This Thread

Prev Next

[#35290] WeakRef#inspect について — keiju@... (Keiju ISHITSUKA)

[#35308] [Ruby 1.8 - Bug #214] (Open) $0に長い文字列を入れるとpsの出力に環境変数らしきものが出てくる — takeru sasaki <redmine@...>

[#35318] rb_during_gc — Masaki Suketa <masaki.suketa@...>

[#35333] [Ruby 1.8 - Bug #221] (Open) Net::SMTPでSMTPのHELO/EHLOにデフォルトで不正なホスト名を使用 — Anonymous <redmine@...>

[#35350] Re: [ruby-core:17491] [Ruby 1.8.7 - Bug #213] (Open) Different ERB behavior across versions — Urabe Shyouhei <shyouhei@...>

[#35355] リリース前ToDoリスト — Yukihiro Matsumoto <matz@...>

[#35369] fiber もどき for 1.8.x — "IWAMURO Motonori" <deenheart+ruby@...>

[#35372] patch for ruby-core:17472 — wanabe <s.wanabe@...>

[#35375] Re: [ruby-cvs:25121] Ruby:r17902 (ruby_1_8_6): * re.c (rb_reg_search): need to free allocated buffer in re_register. [ruby-core:17518] — Urabe Shyouhei <shyouhei@...>

[#35379] [Feature:1.9] rb_scan_args() for keyword arguments — Nobuyoshi Nakada <nobu@...>

[#35389] Re: [ruby-cvs:25164] Ruby:r17945 (trunk, ruby_1_8): * string.c (rb_str_succ): limit carrying in an alphanumeric region if — Yukihiro Matsumoto <matz@...>

[#35390] Re: [ruby-cvs:25170] Ruby:r17951 (trunk): * dir.c (Next): use rb_enc_precise_mbclen. — Tanaka Akira <akr@...>

[#35392] [Bug: 1.9] Block level with binding — SASADA Koichi <ko1@...>

[#35393] Ruby 1.9.1に含まれる機能について — "Yugui (Yuki Sonoda)" <yugui@...>

[#35395] Re: Ruby:r17955 (trunk): * lib/debug.rb, lib/profile.rb: fix to use RubyVM. — Kazuhiro NISHIYAMA <zn@...>

[#35396] cc always picks ruby/ruby.h on OS X — "Akinori MUSHA" <knu@...>

[#35400] [Ruby 1.9 - Bug #245] (Open) IPAddr#to_range raise ArgumentError — okkez _ <redmine@...>

[#35404] ruby_1_8_6/ruby_1_8_7ブランチのメンテナンスポリシーについて — "Shugo Maeda" <shugo@...>

[#35409] [Ruby 1.9 - Bug #250] (Open) tr で 全角数字が変換されません。 — Anonymous <redmine@...>

[#35410] [Ruby 1.9 - Bug #250] (Closed) tr で 全角数字が変換されません。 — Yui NARUSE <redmine@...>

[#35414] [Bug:1.9] $? is not thread scope — Tanaka Akira <akr@...>

[#35420] Re: [ruby-cvs:25212] Ruby:r17993 (trunk): * test/ruby/envutil.rb (assert_normal_exit): finish writing script — Tanaka Akira <akr@...>

[#35426] cgiのテストについて — Fujioka <fuj@...>

[#35441] Re: [ruby-core:17623] Re: We'll release 1.8.6/1.8.7 this Friday — Urabe Shyouhei <shyouhei@...>

[#35444] [Ruby 1.9 - Feature #17] (Closed) deadlock detection for 1.9 — Yusuke Endoh <redmine@...>

[#35446] [Bug:trunk] Thread#kill cannot break BLOCKING_REGION() on windows — "U.Nakamura" <usa@...>

[#35450] [BUG] cfp consistency error in Win32OLE — Masaki Suketa <masaki.suketa@...>

[#35458] make profiler for gc — authorNari <authornari@...>

[#35466] [Ruby 1.8 - Bug #269] (Open) OptionParser#environment requires shellwords — Takashi Tamura <redmine@...>

[#35471] [Bug: 1.9] lazy timer thraed creation — SASADA Koichi <ko1@...>

[#35480] 1.9.1 featureと1.9.0-3リリースプラン — "Yugui (Yuki Sonoda)" <yugui@...>

[#35481] [Ruby 1.9 - Bug #272] (Open) test_chdir failed when Dir.tmpdir is symlink — Kazuhiro NISHIYAMA <redmine@...>

[#35483] pack('i')の挙動...はたして何が期待されているのか — Urabe Shyouhei <shyouhei@...>

[#35484] Re: [ruby-core:17739] [Ruby 1.9 - Bug #256] (Open) defined?(Gem::RubyGemsVersion) behaves strange — wanabe <s.wanabe@...>

[#35489] [Ruby 1.8 - Bug #274] (Open) typo in net/smtp — Masao Takaku <redmine@...>

[#35533] [Bug:1.9] trap("INT", "p 1") causes ArgumentError — Tanaka Akira <akr@...>

[#35542] [Bug:1.9] sleep and Thread#run — Tanaka Akira <akr@...>

[#35545] Test::Unit -> miniunit — Kouhei Sutou <kou@...>

[#35554] [Ruby 1.9 - Bug #6] sprintf() of %f on Windows(MSVCRT) — Usaku NAKAMURA <redmine@...>

[#35555] [Ruby 1.9 - Bug #282] (Open) failure of test_asctime(TestTime) on mswin32 — Usaku NAKAMURA <redmine@...>

[#35566] rdoc defines Hash#method_missing — "Yusuke ENDOH" <mame@...>

[#35578] [Bug:1.9] context switch may occur during freeing io — "Yusuke ENDOH" <mame@...>

[#35596] ruby1.9 -n/-p and END{} — Nobuhiro IMAI <nov@...>

[#35597] [request]C APIの拡張 — "Goro Fuji" <g.psy.va@...>

[#35599] Readline::HISTORYの特異メソッドのrdocの書き方について — Takao Kouji <kouji@...7.net>

[#35605] Generator/Fiber (Re: Re: fiber もどき for 1.8.x) — "IWAMURO Motonori" <deenheart+ruby@...>

[#35610] SEGV by STDIN.gets(0,0) — Tanaka Akira <akr@...>

[#35615] more descriptive aliases of rb_str_new[2-5] (Re: [request]C APIの拡張) — Nobuyoshi Nakada <nobu@...>

[#35617] rb_filesystem_encoding on Unix — Tanaka Akira <akr@...>

[#35620] non-locale filename encoding — Tanaka Akira <akr@...>

[#35633] [Bug:1.9] File.grpowned?のテスト — Kazuhiro NISHIYAMA <zn@...>

[#35636] [Ruby 1.9 - Bug #354] (Open) Test failure test/ruby/test_transcode.rb — Martin Dürst <redmine@...>

[#35637] [Ruby 1.9 - Bug #355] (Open) ext/opensslのmakeが通らない — Anonymous <redmine@...>

[#35638] [Ruby 1.9 - Bug #356] (Open) test_flush(TestIONonblock): Errno::EBADF: Bad file descriptor — Kazuhiro NISHIYAMA <redmine@...>

[#35640] [Ruby 1.9 - Bug #354] (Assigned) Test failure test/ruby/test_transcode.rb — Yui NARUSE <redmine@...>

[#35641] [Ruby 1.9 - Bug #354] Test failure test/ruby/test_transcode.rb — Yui NARUSE <redmine@...>

[#35646] [Bug:1.9] Rinda has a race condition — "Yusuke ENDOH" <mame@...>

[#35647] [bug] cygwin: Windows styleのload pathが無効 — Nobuyoshi Nakada <nobu@...>

[#35648] [Bug:1.9] MingwでIO#dupがブロックする — wanabe <s.wanabe@...>

[#35649] PENDINGS.rb (Was: Re: [Ruby 1.9 - Bug #354] (Assigned) Test failure test/ruby/test_transcode.rb) — "Yusuke ENDOH" <mame@...>

[#35655] [Ruby 1.9 - Bug #354] (Closed) Test failure test/ruby/test_transcode.rb — Martin Dürst <redmine@...>

[#35657] [Ruby 1.9 - Bug #356] test_flush(TestIONonblock): Errno::EBADF: Bad file descriptor — Kazuhiro NISHIYAMA <redmine@...>

[#35666] [Ruby 1.8 - Bug #367] (Open) ruby_1_8のrssで3E — Kazuhiro NISHIYAMA <redmine@...>

[#35669] [Ruby 1.9 - Bug #368] (Open) 境界における Math.atanh 等の動作 — Yui NARUSE <redmine@...>

[#35673] fail to compile extension library in Cygwin (trunk r18249) — Masaki Suketa <masaki.suketa@...>

[#35680] char_casecmp in dir.c — Tanaka Akira <akr@...>

[#35681] [Ruby 1.9 - Bug #369] (Open) Ruby 1.9.0-3で R — Akira Matsuda <redmine@...>

[#35682] [Ruby 1.9 - Bug #369] Ruby 1.9.0-3で R — Akira Matsuda <redmine@...>

[#35683] [Ruby 1.8 - Bug #367] (Closed) ruby_1_8のrssで3E — Kouhei Sutou <redmine@...>

[#35684] [Ruby 1.9 - Bug #369] Ruby 1.9.0-3で R — Akira Matsuda <redmine@...>

[#35685] encoding of Dir#path — Tanaka Akira <akr@...>

[#35704] str.encode("utf-32le", :invalid=>:replace) — Tanaka Akira <akr@...>

[#35705] "\x80".force_encoding("utf-8").encode("utf-32be",:invalid=>:replace) — Tanaka Akira <akr@...>

[#35706] rdoc コマンドで定数の説明を処理できない — Takao Kouji <kouji@...7.net>

[ruby-dev:35298] Re: $SAFEの今後

Thread

In This Thread

[#35409] [Ruby 1.9 - Bug #250] (Open) tr で全角数字が変換されません。 — Anonymous <redmine@...>

[#35410] [Ruby 1.9 - Bug #250] (Closed) tr で全角数字が変換されません。 — Yui NARUSE <redmine@...>