ruby-dev

まつもと ゆきひろです

In message "Re: [ruby-dev:35298] Re: $SAFEの今後"
    on Wed, 2 Jul 2008 00:03:51 +0900, Urabe Shyouhei <shyouhei@ruby-lang.org> writes:

|確認したいのですがまつもとさんの中では開発と保守ってのは渾然一体なのですね?
|俺(や、おそらく多くの職業プログラマはそうだと思いますが)はその二つは一応
|線を引いて考えているので。

わりとそういう傾向はあります。で、「線を引いて考える人」にとっ
て、こういう場合の保守ってのはどういうアクションを意味するん
でしょうね。

|trunkでセーフレベルを考え直すとか言ってたのはもっとがらっと変えるんだと
|思ってたんですが、セーフレベルの本質に踏み込んだ改善はなされないつもりな
|んですか。だとしたらあんまり意味ないなあ。

前回のメール[ruby-dev:35293]ではtrunkについてなにも語っていま
せん。念頭にあったのは1.8に今あるものにどう対処するか、です。

|なぜ、俺の提案した「trunkからは削る/1.8.7までは残す」ってのは選択肢にす
|ら登ってないんですか?

前述のようにtrunkについて語っていないので、「trunkから削る」
ことについては中立です。反対もしません。(まだ)積極的に賛成と
いうわけではないですけど。「1.8.7までは残す」というのは
「1.8.8では削る」という意味ですから「1.8からも削っちゃう」に
含まれると思います。タイミングはともかく。

で、この件について安全性を重視する(ので、情報を公開することさ
えしたくない)人にとって、1.8.8が普及するまでの(結構長い)間、
セーフレベル4を放置すると言うのは「我々が背負った業のようなも
のなので、付き合い続けるしかありません」のヒトコトで納得でき
ちゃう程度の危険性なんですかね。その程度なら「絶対非公開にす
べき」とか過剰反応する必要もなさそうな気がするのですが。

いずれにしても、可能なアクションは、前に進む(穴を塞いでマシに
する)か、後ろに下がる(セーフレベル4を削る)のどちらかではない
かと思います。開発で対応するか、運用で対応するかと言い換えて
もいいです。

前に進むなら、なんらかの開発が必要です。手順としては、非公開
で開発するか、いつも通り公開で開発するかどちらかで、私はRuby
の開発で非公開でうまくいった経験がないので公開で議論/開発した
いと思っています。

後ろに下がるなら、それはいつまでにどのような手順で削るかとい
う問題になると思います。機能がなくなることの混乱と安全性を天
秤にかけることになるでしょう。

で、trunkでセーフレベル4とは別のサンドボックス機能を開発する
かどうかはこれらとは独立の話です。今のセーフレベル4をマシにで
きるならそれでもよいですし、それは無理だということであれば、
別の仕組みを考える必要があるかもしれませんし、そもそもそのよ
うな仕組みを今後導入しないと言う判断もありえるでしょう。

で、ユーザの都合とか負担とかまったく考慮しないで、安全性を最
重視するならば、アクションは「ただちに削る」しかありえないで
しょう。

なんらかの判断で「そこまで緊急性はない」ということであれば、
少々時間がかけられるので、ユーザの利便性も考えた手について検
討できると思います。

削るってことは「ほとんど使われてないとか言うにはあまりに使わ
れている」コードすべてに書き直しが必要になることを意味するの
で、ユーザの利便性を考えると、可能であるならば、削らないでセー
フレベル4を残すのが良いと思います。

が、もっと議論を深めないと、どの程度まで安全性が実現できるの
かということは明らかにならないと思います。で、「そこまで緊急
性はない」のであれば議論は公開で行いたい。限られた参加者では
議論が深まらないと思うからです。議論が深まった結果、セーフレ
ベル4という仕組みそのものが根源的な欠陥があり、まったく使用
に耐えないので削らざるをえない、という結論が出るかもしれませ
ん。あるいは限界を知れば役に立つこともあるという結論かもしれ
ません。

卜部さんの提案「1.8.8で削る」というのは、当面放置することから
「そこまで緊急性がない」ということであり、その割に将来コード
書き換えを強制するのでユーザに対して優しくないということで、
可能であれば避けたい手なんじゃないかと思います。

|まず、あまり使われてないってのは事実と反するので、全部公開して保守するの
|だけは絶対反対です。そこは引けません。

OK。卜部さんは、1.8にあるセーフレベル4の機能を全部公開して保
守することには絶対反対と。その主張は認識しました。

で、そうだとすると、それによって達成したい安全性ってのはどの
ようなもんなんですかね。ただちにセーフレベル4を削るわけでない
以上、穴は(きっと)あるわけで、この部分を使って攻撃したいと思
う人がいるなら、別にruby-devやChangeLogから情報を得なくても、
ソースコードを研究して攻撃手段を入手するのは(技術力さえあれ
ば)さほど困難ではないように思います。逆に開発が公開されていて
も、(議論に注意すれば) 技術力のないカジュアルな攻撃者に攻撃ツー
ルを渡さない程度のことは十分できるでしょう。セーフレベル4が
1.8に残っている以上、開発が公開されていてもいなくても、技術
力のある人にとっては攻撃は可能であり、技術力のない人には攻撃
は難しい。これはさほど変わりません。

ですから、秘密にするということによって得られる「安全の増加」
というのはわずかで、開発が面倒になる/結果の品質が低くなるデメ
リットの方が大きいように思えるのですが。

あ、あくまでもこの件に関してね。

                                まつもと ゆきひろ /:|)

Thread

Prev Next

In This Thread

Prev Next

[#35290] WeakRef#inspect について — keiju@... (Keiju ISHITSUKA)

[#35308] [Ruby 1.8 - Bug #214] (Open) $0に長い文字列を入れるとpsの出力に環境変数らしきものが出てくる — takeru sasaki <redmine@...>

[#35318] rb_during_gc — Masaki Suketa <masaki.suketa@...>

[#35333] [Ruby 1.8 - Bug #221] (Open) Net::SMTPでSMTPのHELO/EHLOにデフォルトで不正なホスト名を使用 — Anonymous <redmine@...>

[#35350] Re: [ruby-core:17491] [Ruby 1.8.7 - Bug #213] (Open) Different ERB behavior across versions — Urabe Shyouhei <shyouhei@...>

[#35355] リリース前ToDoリスト — Yukihiro Matsumoto <matz@...>

[#35369] fiber もどき for 1.8.x — "IWAMURO Motonori" <deenheart+ruby@...>

[#35372] patch for ruby-core:17472 — wanabe <s.wanabe@...>

[#35375] Re: [ruby-cvs:25121] Ruby:r17902 (ruby_1_8_6): * re.c (rb_reg_search): need to free allocated buffer in re_register. [ruby-core:17518] — Urabe Shyouhei <shyouhei@...>

[#35379] [Feature:1.9] rb_scan_args() for keyword arguments — Nobuyoshi Nakada <nobu@...>

[#35389] Re: [ruby-cvs:25164] Ruby:r17945 (trunk, ruby_1_8): * string.c (rb_str_succ): limit carrying in an alphanumeric region if — Yukihiro Matsumoto <matz@...>

[#35390] Re: [ruby-cvs:25170] Ruby:r17951 (trunk): * dir.c (Next): use rb_enc_precise_mbclen. — Tanaka Akira <akr@...>

[#35392] [Bug: 1.9] Block level with binding — SASADA Koichi <ko1@...>

[#35393] Ruby 1.9.1に含まれる機能について — "Yugui (Yuki Sonoda)" <yugui@...>

[#35395] Re: Ruby:r17955 (trunk): * lib/debug.rb, lib/profile.rb: fix to use RubyVM. — Kazuhiro NISHIYAMA <zn@...>

[#35396] cc always picks ruby/ruby.h on OS X — "Akinori MUSHA" <knu@...>

[#35400] [Ruby 1.9 - Bug #245] (Open) IPAddr#to_range raise ArgumentError — okkez _ <redmine@...>

[#35404] ruby_1_8_6/ruby_1_8_7ブランチのメンテナンスポリシーについて — "Shugo Maeda" <shugo@...>

[#35409] [Ruby 1.9 - Bug #250] (Open) tr で 全角数字が変換されません。 — Anonymous <redmine@...>

[#35410] [Ruby 1.9 - Bug #250] (Closed) tr で 全角数字が変換されません。 — Yui NARUSE <redmine@...>

[#35414] [Bug:1.9] $? is not thread scope — Tanaka Akira <akr@...>

[#35420] Re: [ruby-cvs:25212] Ruby:r17993 (trunk): * test/ruby/envutil.rb (assert_normal_exit): finish writing script — Tanaka Akira <akr@...>

[#35426] cgiのテストについて — Fujioka <fuj@...>

[#35441] Re: [ruby-core:17623] Re: We'll release 1.8.6/1.8.7 this Friday — Urabe Shyouhei <shyouhei@...>

[#35444] [Ruby 1.9 - Feature #17] (Closed) deadlock detection for 1.9 — Yusuke Endoh <redmine@...>

[#35446] [Bug:trunk] Thread#kill cannot break BLOCKING_REGION() on windows — "U.Nakamura" <usa@...>

[#35450] [BUG] cfp consistency error in Win32OLE — Masaki Suketa <masaki.suketa@...>

[#35458] make profiler for gc — authorNari <authornari@...>

[#35466] [Ruby 1.8 - Bug #269] (Open) OptionParser#environment requires shellwords — Takashi Tamura <redmine@...>

[#35471] [Bug: 1.9] lazy timer thraed creation — SASADA Koichi <ko1@...>

[#35480] 1.9.1 featureと1.9.0-3リリースプラン — "Yugui (Yuki Sonoda)" <yugui@...>

[#35481] [Ruby 1.9 - Bug #272] (Open) test_chdir failed when Dir.tmpdir is symlink — Kazuhiro NISHIYAMA <redmine@...>

[#35483] pack('i')の挙動...はたして何が期待されているのか — Urabe Shyouhei <shyouhei@...>

[#35484] Re: [ruby-core:17739] [Ruby 1.9 - Bug #256] (Open) defined?(Gem::RubyGemsVersion) behaves strange — wanabe <s.wanabe@...>

[#35489] [Ruby 1.8 - Bug #274] (Open) typo in net/smtp — Masao Takaku <redmine@...>

[#35533] [Bug:1.9] trap("INT", "p 1") causes ArgumentError — Tanaka Akira <akr@...>

[#35542] [Bug:1.9] sleep and Thread#run — Tanaka Akira <akr@...>

[#35545] Test::Unit -> miniunit — Kouhei Sutou <kou@...>

[#35554] [Ruby 1.9 - Bug #6] sprintf() of %f on Windows(MSVCRT) — Usaku NAKAMURA <redmine@...>

[#35555] [Ruby 1.9 - Bug #282] (Open) failure of test_asctime(TestTime) on mswin32 — Usaku NAKAMURA <redmine@...>

[#35566] rdoc defines Hash#method_missing — "Yusuke ENDOH" <mame@...>

[#35578] [Bug:1.9] context switch may occur during freeing io — "Yusuke ENDOH" <mame@...>

[#35596] ruby1.9 -n/-p and END{} — Nobuhiro IMAI <nov@...>

[#35597] [request]C APIの拡張 — "Goro Fuji" <g.psy.va@...>

[#35599] Readline::HISTORYの特異メソッドのrdocの書き方について — Takao Kouji <kouji@...7.net>

[#35605] Generator/Fiber (Re: Re: fiber もどき for 1.8.x) — "IWAMURO Motonori" <deenheart+ruby@...>

[#35610] SEGV by STDIN.gets(0,0) — Tanaka Akira <akr@...>

[#35615] more descriptive aliases of rb_str_new[2-5] (Re: [request]C APIの拡張) — Nobuyoshi Nakada <nobu@...>

[#35617] rb_filesystem_encoding on Unix — Tanaka Akira <akr@...>

[#35620] non-locale filename encoding — Tanaka Akira <akr@...>

[#35633] [Bug:1.9] File.grpowned?のテスト — Kazuhiro NISHIYAMA <zn@...>

[#35636] [Ruby 1.9 - Bug #354] (Open) Test failure test/ruby/test_transcode.rb — Martin Dürst <redmine@...>

[#35637] [Ruby 1.9 - Bug #355] (Open) ext/opensslのmakeが通らない — Anonymous <redmine@...>

[#35638] [Ruby 1.9 - Bug #356] (Open) test_flush(TestIONonblock): Errno::EBADF: Bad file descriptor — Kazuhiro NISHIYAMA <redmine@...>

[#35640] [Ruby 1.9 - Bug #354] (Assigned) Test failure test/ruby/test_transcode.rb — Yui NARUSE <redmine@...>

[#35641] [Ruby 1.9 - Bug #354] Test failure test/ruby/test_transcode.rb — Yui NARUSE <redmine@...>

[#35646] [Bug:1.9] Rinda has a race condition — "Yusuke ENDOH" <mame@...>

[#35647] [bug] cygwin: Windows styleのload pathが無効 — Nobuyoshi Nakada <nobu@...>

[#35648] [Bug:1.9] MingwでIO#dupがブロックする — wanabe <s.wanabe@...>

[#35649] PENDINGS.rb (Was: Re: [Ruby 1.9 - Bug #354] (Assigned) Test failure test/ruby/test_transcode.rb) — "Yusuke ENDOH" <mame@...>

[#35655] [Ruby 1.9 - Bug #354] (Closed) Test failure test/ruby/test_transcode.rb — Martin Dürst <redmine@...>

[#35657] [Ruby 1.9 - Bug #356] test_flush(TestIONonblock): Errno::EBADF: Bad file descriptor — Kazuhiro NISHIYAMA <redmine@...>

[#35666] [Ruby 1.8 - Bug #367] (Open) ruby_1_8のrssで3E — Kazuhiro NISHIYAMA <redmine@...>

[#35669] [Ruby 1.9 - Bug #368] (Open) 境界における Math.atanh 等の動作 — Yui NARUSE <redmine@...>

[#35673] fail to compile extension library in Cygwin (trunk r18249) — Masaki Suketa <masaki.suketa@...>

[#35680] char_casecmp in dir.c — Tanaka Akira <akr@...>

[#35681] [Ruby 1.9 - Bug #369] (Open) Ruby 1.9.0-3で R — Akira Matsuda <redmine@...>

[#35682] [Ruby 1.9 - Bug #369] Ruby 1.9.0-3で R — Akira Matsuda <redmine@...>

[#35683] [Ruby 1.8 - Bug #367] (Closed) ruby_1_8のrssで3E — Kouhei Sutou <redmine@...>

[#35684] [Ruby 1.9 - Bug #369] Ruby 1.9.0-3で R — Akira Matsuda <redmine@...>

[#35685] encoding of Dir#path — Tanaka Akira <akr@...>

[#35704] str.encode("utf-32le", :invalid=>:replace) — Tanaka Akira <akr@...>

[#35705] "\x80".force_encoding("utf-8").encode("utf-32be",:invalid=>:replace) — Tanaka Akira <akr@...>

[#35706] rdoc コマンドで定数の説明を処理できない — Takao Kouji <kouji@...7.net>

[ruby-dev:35303] Re: $SAFEの今後

Thread

In This Thread

[#35409] [Ruby 1.9 - Bug #250] (Open) tr で全角数字が変換されません。 — Anonymous <redmine@...>

[#35410] [Ruby 1.9 - Bug #250] (Closed) tr で全角数字が変換されません。 — Yui NARUSE <redmine@...>