[#21718] print, puts, printf — Masaki Suketa<CQN02273@...>
助田です.
7 messages
2000/04/01
[#21732] GtkRadioMenuItem activate — mof <mof@...>
はじめまして、「もふ」といいます。よろしくお願いします。
1 message
2000/04/03
[#21736] OBJECTDAY 2000 — 助田 雅紀 <masaki.suketa@...>
助田です.
29 messages
2000/04/03
[#21748] Re: OBJECTDAY 2000
— keiju@... (石塚圭樹)
2000/04/04
けいじゅ@日本ラショナルソフトウェアです.
[#21753] Re: OBJECTDAY 2000
— Hideto ISHIBASHI <hideto-i@...4u.or.jp>
2000/04/05
石橋秀仁です。
[#21755] Re: OBJECTDAY 2000
— keiju@... (石塚圭樹)
2000/04/05
けいじゅ@日本ラショナルソフトウェアです.
[#21758] Re: OBJECTDAY 2000
— Hideto ISHIBASHI <hideto-i@...4u.or.jp>
2000/04/05
石橋秀仁です。
[#21738] ruby の W3C ドラフト — KUBO Takehiro <tkubo@...>
久保@茅ヶ崎市です。
6 messages
2000/04/03
[#21781] how to get error reason in ftplib ? — "Kikutani, Makoto" <kikutani@...>
前にも似たことを聞いた気がしますが....
5 messages
2000/04/06
[#21789] about ftplib(ftpup) — goto@...
お世話になります。後藤@横河工事です。
7 messages
2000/04/07
[#21798] script language magazine? — Akihiro Yamauchi <aygoofy@...>
こんばんは。
10 messages
2000/04/07
[#21818] RubyToken::TkSTRING::value — Yasushi Shoji <yashi@...>
やすしです。
5 messages
2000/04/09
[#21834] How can i use mod_ruby — goto@...
お世話になります。後藤@横河工事です。
9 messages
2000/04/10
[#21837] site_ruby & Linux distribution — OZAWA Sakuro <crouton@...>
小澤さくです。
14 messages
2000/04/10
[#21843] [Q]Security Check($SAFE): FileTest within mod_ruby — Hideto ISHIBASHI <hideto-i@...4u.or.jp>
石橋秀仁です。
7 messages
2000/04/10
[#21845] Re: [Q]Security Check($SAFE): FileTest within mod_ruby
— matz@... (Yukihiro Matsumoto)
2000/04/10
まつもと ゆきひろです
[#21870] rubyunit — rubikitch <rubikitch@...>
るびきちです。
11 messages
2000/04/12
[#21892] ユーザーの新規登録方法について — goto@...
いつもお世話になります、後藤@横河工事です。
10 messages
2000/04/14
[#21905] rd-draft.ja.rd — akira yamada / やまだあきら <akira@...>
6 messages
2000/04/14
[#21922] ruby-1.4.4 binary for BeOS 5 (Intel) — tenmei@... (Noriaki Harada)
はらだです。
23 messages
2000/04/15
[#21923] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— NAITOH Jun <naitoh@...>
2000/04/15
はじめまして、内藤と申します。
[#21926] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— tenmei@... (Noriaki Harada)
2000/04/16
>はじめまして、内藤と申します。
[#21930] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— NAITOH Jun <naitoh@...>
2000/04/16
内藤です。
[#21968] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— Katsuyuki Komatsu <komatsu@...>
2000/04/17
小松です。
[#21969] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— NAITOH Jun <naitoh@...>
2000/04/17
再び内藤です。
[#21978] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— Katsuyuki Komatsu <komatsu@...>
2000/04/18
小松です。
[#21979] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— tenmei@... (Noriaki Harada)
2000/04/18
はらだです。
[#21989] Re: ruby-1.4.4 binary for BeOS 5 (Intel)
— 市川 裕隆 <hirotaka.ichikawa@...>
2000/04/19
市川 as Tanukiです。
[#21931] ruby-mode — Yasushi Abe <yasushi@...>
こんにちわ、阿部です。
7 messages
2000/04/17
[#21934] close on disk full — "Kikutani, Makoto" <kikutani@...>
curでディスクがフルな状態でPOPするとメイルを失なうという
7 messages
2000/04/17
[#21936] Re: close on disk full
— gotoken@... (GOTO Kentaro)
2000/04/17
In message "[ruby-list:21934] close on disk full"
[#21944] [Q] RD with CSS — gotoken@... (GOTO Kentaro)
ごとけんです
12 messages
2000/04/17
[#21956] Thread & STDIN — Masato Toyoshima <mt@...>
はじめまして、豊島といいます。
16 messages
2000/04/17
[#21957] Re: Thread & STDIN
— matz@... (Yukihiro Matsumoto)
2000/04/17
まつもと ゆきひろです
[#21974] Re: Polynomial.rb and floating point exception — "K.Kodama" <kdm@...>
児玉 です.
6 messages
2000/04/18
[#21981] rd2man — WATANABE Hirofumi <eban@...>
わたなべです.
29 messages
2000/04/18
[#21982] Re: rd2man
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/04/18
Toshです。
[#21985] Re: rd2man
— WATANABE Hirofumi <Hirofumi.Watanabe@...>
2000/04/19
わたなべです.
[#22036] Re: rd2man
— Wakou Aoyama <wakou@...>
2000/04/20
青山です。
[#22040] Re: rd2man
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/04/21
Toshです。
[#22057] Re: rd2man
— Wakou Aoyama <wakou@...>
2000/04/21
青山です。
[#21990] rb.org — OZAWA Sakuro <crouton@...>
さくです。
6 messages
2000/04/19
[#21999] media watch 2000.03.18 — Noritsugu Nakamura <nnakamur@...>
5 messages
2000/04/19
[#22014] shell interactive — WATANABE Daisaku <dwata@...3.rim.or.jp>
31 messages
2000/04/20
[#22015] Re: shell interactive
— "K.Kodama" <kdm@...>
2000/04/20
児玉 です.
[#22016] Re: shell interactive
— 時田幸粋 <ktokita@...>
2000/04/20
こんにちは、時田です。
[#22017] Re: shell interactive
— nobu.nakada@...
2000/04/20
なかだです。
[#22018] Re: shell interactive
— WATANABE Hirofumi <Hirofumi.Watanabe@...>
2000/04/20
わたなべです.
[#22027] Re: shell interactive
— 時田幸粋 <ktokita@...>
2000/04/20
こんにちは、時田です。
[#22051] Re: shell interactive
— WATANABE Hirofumi <eban@...>
2000/04/21
わたなべです.
[#22054] Re: shell interactive
— matz@... (Yukihiro Matsumoto)
2000/04/21
まつもと ゆきひろです
[#22061] Re: shell interactive
— 時田幸粋 <ktokita@...>
2000/04/22
Sat, Apr 22, 2000 at 12:37:33AM +0900 において
[#22063] Re: shell interactive
— matz@... (Yukihiro Matsumoto)
2000/04/22
まつもと ゆきひろです
[#22073] Re: shell interactive
— 時田幸粋 <ktokita@...>
2000/04/23
こんにちは、時田です。
[#22080] Re: shell interactive
— matz@... (Yukihiro Matsumoto)
2000/04/24
まつもと ゆきひろです
[#22086] Re: shell interactive
— 時田幸粋 <ktokita@...>
2000/04/24
こんにちは、時田です。
[#22022] w3ml — とみたまさひろ <tommy@...>
とみたです。
7 messages
2000/04/20
[#22026] assert — "友谷 登" <ntomo@...>
はじめまして友谷です
9 messages
2000/04/20
[#22069] Re: #define const — Toyofuku <toyofuku@...>
豊福です。
7 messages
2000/04/22
[#22075] erb-1.2.2 — Masatoshi SEKI <m_seki@...>
8 messages
2000/04/23
[#22090] Re: erb-1.2.2
— Hideto ISHIBASHI <hideto-i@...4u.or.jp>
2000/04/24
石橋秀仁です。
[#22087] media watch 2000.03.24 — Noritsugu Nakamura <nnakamur@...>
7 messages
2000/04/24
[#22103] Please put ruby-1.4.4.tar.gz in pub/lang/ruby/1.4/ — "Akinori -Aki- MUSHA" <knu@...>
お願いがあるのですが、 ruby-1.4.4.tar.gz を FTP ツリーの 1.4/
16 messages
2000/04/25
[#22199] Where to put ruby-i.j.k.tar.gz on? (Re: )
— SUGIHARA Hiroshi <maili31s@...>
2000/04/28
[ruby-list:22103]におきまして、2000/04/25 12:38ほどに、
[#22210] Re: Where to put ruby-i.j.k.tar.gz on? (Re: )
— Koji Arai <JCA02266@...>
2000/04/30
新井です。
[#22213] Re: Where to put ruby-i.j.k.tar.gz on? (Re: )
— matz@... (Yukihiro Matsumoto)
2000/04/30
まつもと ゆきひろです
[#22225] Re: Where to put ruby-i.j.k.tar.gz on? (Re: )
— WATANABE Hirofumi <eban@...>
2000/05/01
わたなべです.
[#22227] Re: Where to put ruby-i.j.k.tar.gz on? (Re: )
— matz@... (Yukihiro Matsumoto)
2000/05/02
まつもと ゆきひろです
[#22233] Re: Where to put ruby-i.j.k.tar.gz on? (Re: )
— Koji Arai <JCA02266@...>
2000/05/02
新井です。
[#22234] Re: Where to put ruby-i.j.k.tar.gz on? (Re: )
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/05/02
Toshです。
[#22117] StateGraph: state machine interpreter — Hideto ISHIBASHI <hideto-i@...4u.or.jp>
石橋 "rubyholic" 秀仁です。
16 messages
2000/04/25
[#22120] Re: StateGraph: state machine interpreter
— rubikitch <rubikitch@...>
2000/04/25
From: Hideto ISHIBASHI <hideto-i@rr.iij4u.or.jp>
[#22218] Re: StateGraph: state machine interpreter
— Hideto ISHIBASHI <hideto-i@...4u.or.jp>
2000/05/01
石橋 "rubyholic" 秀仁です。
[#22259] Re: StateGraph: state machine interpreter
— Yasushi Shoji <yashi@...>
2000/05/04
やすし % GUI大好きです。
[#22159] $LOAD_PATH への追加について — "Sugawara Hajime" <sugawara@...>
はじめまして、菅原@ホビー・データです。
13 messages
2000/04/27
[#22169] Re: $LOAD_PATH への追加について
— "Sugawara Hajime" <sugawara@...>
2000/04/27
菅原@ホビー・データです。
[#22164] Directory Cabinet Program — sekita-n@... (Nobutaka SEKITANI)
関谷@電通大です。
1 message
2000/04/27
[#22171] postgres.c のエラーメッセージ — Saitou Noboru <noborus@...>
10 messages
2000/04/27
[#22183] Re: postgres.c のエラーメッセージ
— matz@... (Yukihiro Matsumoto)
2000/04/28
まつもと ゆきひろです
[#22181] Can't Use optparse — Yamada Kenji <kyamada@...>
28 messages
2000/04/28
[#22186] Re: Can't Use optparse
— akira yamada / やまだあきら <akira@...>
2000/04/28
[#22195] Re: Can't Use optparse
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/04/28
Toshです。
[#22261] Re: Can't Use optparse
— nobu.nakada@...
2000/05/04
なかだです。
[#22264] Re: Can't Use optparse
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/05/04
Toshです。
[#22270] Re: Can't Use optparse
— nobu.nakada@...
2000/05/04
なかだです。
[#22272] Re: Can't Use optparse
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/05/04
Toshです。
[#22300] Re: Can't Use optparse
— Koji Arai <JCA02266@...>
2000/05/05
新井です。
[#22301] Re: Can't Use optparse
— Koji Arai <JCA02266@...>
2000/05/05
新井です。
[#22312] Re: Can't Use optparse
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/05/05
Toshです。
[#22316] ruby-man.rd (Re: Can't Use optparse)
— Koji Arai <JCA02266@...>
2000/05/05
新井です。
[#22318] Re: ruby-man.rd (Re: Can't Use optparse)
— Toshiro Kuwabara <toshirok@...3.so-net.ne.jp>
2000/05/05
Toshです。
[#22188] Web Robot of Ruby — Ryunosuke Ohshima <ryu@...>
大島@北陸先端科学技術大学院大学です。
7 messages
2000/04/28
[ruby-list:21845] Re: [Q]Security Check($SAFE): FileTest within mod_ruby
From:
matz@... (Yukihiro Matsumoto)
Date:
2000-04-10 22:02:36 UTC
List:
ruby-list #21845
まつもと ゆきひろです
In message "[ruby-list:21843] [Q]Security Check($SAFE): FileTest within mod_ruby"
on 00/04/11, Hideto ISHIBASHI <hideto-i@rr.iij4u.or.jp> writes:
|ぼくのところでは、mod_rubyから起動されるeRubyスクリプト(.rhtml)の
|セキュリティレベル($SAFE)は'1'です。そのとき、
| File.open("...")
|は実行できるのに、
| FileTest.file?("...")
| File.file?("...")
|はSecurityErrorです。
これは正確に言えば違うはずです。
以上の全てのメソッドは引数が汚染されている(つまり外部から入
力されていて信頼できない)ときに例外を発生させます。つまり、
File.openが実行できたと言うことはその引数が汚染されていなかっ
たということであり、FileTest.file?が例外を発生したと言うこと
はその引数が汚染されていたと言うことだと思います。
ということで、さすがに
|ファイルのオープンはセキュリティレベル'1'に適合するけれど、
|ファイルテストはそれより危険ということですね。セキュリティには
|詳しくないので、ファイルテストの危険度がよくわかりません。
|ファイルの内容を読むほうが危険だと思います。
というような、わけわかな仕様にはなってないと思います。セキュ
リティ関係は実は1.4系ではあまりしゃんとしてないのですが(1.5
系でかなり改善されている)、それでも上記は成立します。
|つぎにmod_rubyのセキュリティ設定について。
|
|mod_rubyから起動されるeRubyスクリプトの$SAFEは、
|Apacheとは無関係にmod_rubyが設定するものですね。
|つまりsuexecなどでも$SAFEを下げることはできないように
|思うのですが、どのようにして$SAFEを下げる(正確には「下げない」)、
|もしくは特権的な操作を許可することができるのでしょうか。
|
|要するに「抜け道」を教えてください (^^;;
srm.confに指定するなどの方法を採用する可能性は否定しませんが、
私からはわざわざセキュリティホールになる仕様変更を前田さんに
頼めません。ご自分で説得してください。;-)
前述のように$SAFE=1でSecurityErrorが出るのは -私の主観では-
CGIのようなプログラムではかなりあぶない行為ですから、許可し
ない方が良いと思います。しかし、「外部から入力されていても内
容はチェックした、大丈夫」とお考えの場合にはuntaintメソッド
で明示的に汚染マークを外してくださいませ。
まつもと ゆきひろ /:|)