ruby-list

中島@ブレーンです。

At Mon, 24 Mar 2003 17:42:03 +0900,
Yukihiro Matsumoto wrote:
> 
> まつもと ゆきひろです
> 
> In message "[ruby-list:37405] Re: Secure「ではない」script の書き方"
>     on 03/03/24, Taku Nakajima <tnakajima@brain-tokyo.jp> writes:
> 
> |strscanでまさにそのような例を発見しました。同じようなことをしても標準
> |のRegexpクラスでは汚染が伝染するのに、StringScannerでは伝染しません。
> 
> 手元では伝染します。たぶん、あおきさんが最近対応してるのでは？

1.8.0-preview2で試してみたら、確かに伝染するようになってました。

> |私は最後の行でtrueが出てほしいと思うのですが、それが正しいかどうかは確
> |信がありません。このような場合の指針のようなものはあるのでしょうか？
> 
> 拡張ライブラリを書く人はできれば以下のことに留意してください。
> 
>   * 部分文字列を得る場合にはrb_str_substr()などを使う
>     (strscanもそうすれば良かったのではないかと)
> 
>   * あるオブジェクトに基づいて別のオブジェクトを作るときには、
>     OBJ_INFECT()を呼ぶように
> 
>   * グローバルな状態を変更するメソッドではrb_secure(4)を呼ぶ
> 
>   * ローカルな状態(インスタンス変数とか)を変更するメソッドで
>     はselfがtaintでなければrb_secure(4)を呼ぶ。
> 
>     うーん、これを1ステップで行うマクロが欲しいか

ありがとうございます。だいぶわかってきましたが、もうちょっと聞きたいこ
とがあります。具体的には、amritaでセキュリティーエラーが発生するケース
があって、どう対処すべきかということですが、一般的な問題が含まれている
ような気もします。

まず、amritaの問題について説明します。amritaのテンプレートは、単純化し
てしまえばprintfのフォーマット指定文字列のようなものです。だから、

  tainted_string='aaabbb%d'.taint
  $SAFE=1
  printf(tainted_string, 10)

が許されるとしたら、

  t = TemplateFile.new (テンプレートファイル)
  $SAFE=1
  t.expand(STDOUT, :xxx=>111)

も許されるべきではないかと思います。実際に、mod_rubyのsafeレベルのデフォ
ルトが1ですから、テンプレートをファイルから読みこんでそれを返すという
ごく一般的な操作を許さないと面倒です。

しかし、現状の実装ではt.expandの中でテンプレートファイルから作成した文
字列をeval していますので、セキュリティーエラーが発生します。

私は次のようにしようと思っています。

  (1) amrita内部のevalの使用個所を調べて、このevalで意図されないコード
      が実行されないことを確認する。

  (2) evalする文字列をuntaintしてからevalする

  (3) 「私を信じますか？」オプションを用意して信じる人だけ(2)を有効にする

これでいいのか悩んでいるのですが、この問題を一般化すると、

  (A) 汚染はどのような時に伝染すべきか？
  (B) 各safelevelで許される操作とは何か？
  (C) 各safelevelで汚染されたオブジェクトを使用して実行してもよい操作とは何か？

ということになるのではないかと思います。まつもとさんの指針で言うと

>   * あるオブジェクトに基づいて別のオブジェクトを作るときには、
>     OBJ_INFECT()を呼ぶように

は(A)に関するルールで

>   * グローバルな状態を変更するメソッドではrb_secure(4)を呼ぶ

は(B)に関するルール($safeではグローバルな状態を変更してはいけない)にな
ります。

それで、(A)はわかるのですが、(B)(C)については「オブジェクト指向スクリ
プト言語Ruby」や「プログラミングRuby」を見ても、現在のRubyが持っている
機能に関してそれぞれ個別に、これはよい、これはダメと列挙されているだけ
のような気がします。抽象的なレベルの方針がもうひとつわかりません。

拡張ライブラリは、当然、現在のrubyの処理系にない機能を追加するのですか
ら、それぞれの機能ごとに

  (B) この機能はどのsafelevelまで許すのか？
  (C) 汚染されたオブジェクトをを使用する時、この機能はどのsafelevelまで許すのか？

ということを考えなくてはなりません。現在は、amritaのケースのように
「amritaはprintfに似てる、だからprintfに合わせればいいのか？」という感
じで、既存の個別のルールを全部ながめながら、いろいろ考えて決定する必要
があります。

だから、できれば各safelevelについて、抽象的に簡潔に「このレベルの意味
はこうです」というようなガイドラインのようなものがほしいような気がしま
す。なんとなく、暗黙のガイドラインがすでにあるような気がするので、でき
れば、それを明文化していただけるとありがたいです。

--
「stableでなければ生きていけない。unstableでなければ生きてる意味がない」
中島 拓 (株)ブレーン 研究部 (tnakajima@brain-tokyo.jp)
http://www.brain-tokyo.jp/research/amrita/

Thread

Prev Next

In This Thread

Prev Next

[#37203] [Q]"j"sort — Masaaki Sakano <mas@...>

[#37217] Symbol#to_int — Take_tk <ggb03124@...>

[#37220] ■CHISE Symposium 2003 開催の御案内 — Kouichirou Eto <2003@...>

[#37230] CGIからファイルをダウンロード — FUJIOKA Takeyuki <fuji@...>

[#37234] Rangeと増分値 — Masahiro Sato <msato@...>

[#37235] CygwinでRuby/SDLのコンパイル — katata@...

[#37237] WindowsバイナリでのResolvのエラー — Takeshi Fukuyama <ml@...>

[#37239] Rucheme / Scheme(subset) interpreter on Ruby — "K.Sasada" <ko1@...>

[#37240] Exerbの終了ステータスについて — 橋本昌典 <hasimoto@...>

[#37247] world-writableなディレクトリにあるスクリプトをrequire — 堀川 久 <vzw00011@...>

[#37249] ruby 1.8でのCGI#[]の挙動 — 堀川 久 <vzw00011@...>

[#37250] GTK::Combo — "TOYOFUKU Chikanobu" <toyofuku@...>

[#37256] ケサランパサラン — Shin-ichiro HARA <sinara@...>

[#37267] [ANN] ruby-fcgi-0..8.2 released — MoonWolf <moonwolf@...>

[#37271] [ANN] Exerb/Exerb-CC 2.6.3 — Yuya Kato <yuya-ml@4th.to>

[#37272] Re: Exerbの終了ステータスについて — 橋本昌典 <hasimoto@...>

[#37273] [ANN]Ruby/JS 0.0.4 — たむらけんいち <sgs02516@...>

[#37274] puts of ruby-1.8.0/cygwin — Shin-ichiro HARA <sinara@...>

[#37283] 両方の式とも常に評価する論理和・論理積 — Shinya Kawaji <kawaji@...>

[#37298] SQL文を調べるライブラリはありますか？ — Take_tk <ggb03124@...>

[#37304] ruby/slang — Satoshi Osabe <osabe@...>

[#37306] String#strip — Koji Oda <k-oda@...>

[#37318] 継承されたクラスの定数の扱いについて — KIMURA Shusaku <skimura@...>

[#37324] optparse は使いやすいですか？ — 成島 寛則 <narushima@...>

[#37340] セッション変数 CGI::Session の使用法 — Akimichi Tatsukawa <akimichi@...>

[#37342] 起動時コマンドの再現 — sakazuki <QZS01353@...>

[#37349] Jcode と YAML.rb — Takashi & Kayoko Sano <tksano@...3.kcn.ne.jp>

[#37354] 正規表現の位置指定の使い方 — AOKI Yoshihiro <aoki@...>

[#37364] Re: 正規表現の位置指定の使い方 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#37367] Re: 正規表現の位置指定の使い方 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#37370] Secure「ではない」script の書き方 — satoru takahashi <hisai@...>

[#37371] Re: 正規表現の位置指定の使い方 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#37374] [Q] drubyでai_family not supported (SocketError) — eda@...

[#37390] REXMLの日本語エンコーディングについて — tousaki@...3.netwave.or.jp

[#37398] Re: REXML の日本語エンコーディングについて — siena@... (Siena. / SHINAGAWA, Norihide)

[#37401] [ANN] Ruby-GNOME2-0.4.0 — Masao Mutoh <mutoh@...>

[#37403] rd2plain-lib — "Shirai,Kaoru" <shirai@...>

[#37404] [ANN] SWIG 1.3.18リリース — Shibukawa Yoshiki <yoshiki@...>

[#37421] Tmpfile.newがデフォルトで/tmpを利用すること — Tadatoshi Kamimura <kamimura.tadatoshi@...>

[#37432] 例外について — masahiro kawata <mas@...>

[#37437] [ANN] Exerb/Exerb-CC 2.6.4 — Yuya Kato <yuya-ml@4th.to>

[#37439] [ANN] Ruby/zlib 0.6.0 — UENO Katsuhiro <unnie@...>

[#37440] [ANN] Ruby-GNOME2-0.4.0 binaries(Cygwin, Debian) — Masao Mutoh <mutoh@...>

[#37444] file loading/class instanciation from C — Latte <latte@...>

[#37446] mswin32版のCGIのoffline modeについて — Nonta <nonta@...>

[#37452] UTF-8 <-> 他の文字コードの変換 — keiichi matsunaga <ma2@...>

[#37455] html-parser — 堀川 久 <vzw00011@...>

[#37460] ENV.delete_if — 堀川 久 <vzw00011@...>

[#37463] Ruby Hanami Kansai 2003 — YANAGAWA Kazuhisa <kjana@...4lab.to>

[ruby-list:37414] Re: Secure「ではない」script の書き方

Thread

In This Thread

[#37247] world-writableなディレクトリにあるスクリプトをrequire — 堀川久 <vzw00011@...>

[#37249] ruby 1.8でのCGI#[]の挙動 — 堀川久 <vzw00011@...>

[#37324] optparse は使いやすいですか？ — 成島寛則 <narushima@...>

[#37455] html-parser — 堀川久 <vzw00011@...>

[#37460] ENV.delete_if — 堀川久 <vzw00011@...>