ruby-list

中島@ブレーンです。

> ただ、やはりレベル1が達成しようとしているものと、レベル4が達
> 成しようとしているものは、同じ仕組みを使ってはいるものの違う
> ものではないかと思うのです。あんまり連続的じゃないんですよね。

ということは、

  (1) もともとCGI+suid対応とサンドボックス(Javaのappletみたいな)
      が別個な要件として先に存在していた

  (2) よく見ると(1)のふたつの要件は似ている所がある

  (3) じゃ一緒にしちゃえ

  (4) この中間のレベルはいるのか？よくわからんが、あって困ることはない
      から、とりあえず作っておこう

という感じなのでしょうか？

もしこれが実態に近いとしたら、これが私の言う「TOPLEVELの説明」になるよ
うな気がします。つまり、この枠組を最初に見てから詳細の仕様を読んでいけ
ば、理解が速い。というか、この経緯を知らなかったから悩んでいたというこ
とですね。

> レベル1では信頼できないのはデータですが、レベル4ではプログラ
> ムそのものが信頼できません。ですから、一つのメタファーですべ
> てをカバーするのは難しいかもしれません。
> 
> |ただ、これを見ると「なぜここに$SAFE>=4というチェックがあるのに、
> |$SAFE>=2や$SAFE>=3というチェックが一切出てこないんだろう」ということが
> |謎になります。こういう言いがかりのような疑問がズルズル出てきて消えない
> |のが、悩みのタネで・・・
> 
> $SAFE >= 2というチェックはいくつかありますよね(forkとか)。
> 
> これも不連続であることの結果なのですが、rb_secure()によるチェッ
> クは基本的に信頼できないコードに対するチェックです。レベル1 
> ではコードは信頼できるのでそのようなチェックは発生しません。
> 
> レベル2では(うっかりミスを防ぐため？)いくつかの処理が禁止さ
> れています。つまり、そのような処理(forkとか)を行えない程度に
> 自分を信頼できないわけです。
> 
> レベル3では追加される禁止はuntaintだけです。ですから、ひとつ
> しかありません。
> 
> レベル4では基本的に汚染されていないオブジェクト(や環境)を更
> 新することは一切禁止です。ですから、rb_secure(4)があちこちに
> ちりばめられることになります。

なるほど、自分で拡張ライブラリを作る場合にrb_secure()をいつどのように
入れる必要があるのか、ということがわかってきました。

rb_secure(4):

  入れるべき所が相当たくさんある。
  なぜ必要か？どこに必要か？をちゃんと理解する必要がある。
  rubyインタプリタの中にもたくさんある。

rb_secure(3):
  
  rubyインタプリタの中に一箇所(rb_obj_untaint)しかない。
  拡張ライブラリには入らない

rb_secure(2):
  
  rubyインタプリタの中には4ほどではないがたくさんある
  論理的には拡張ライブラリにも入る可能性はあるが、
  少なくとも現状は活用されていないのでサボってもよい!？

rb_secure(1):
  
  論理的に意味がないのであり得ない(レベル1は外部データによる汚染関係)

やはりこれを前提として、「かくかくしかじかの時にはrb_secure(4)」という
説明を聞けば、よく納得できるし、レベル4以外の意味の理解は後回しにして
もかまわないということがわかります。

# 結局、私がRubyを好きなのは、サボれる所とサボれない所が直感的にわかる
# からで、今回、逆切れしたようにしつこく聞いているのは、ここだけサボる
# 所がわからなかったから？ > 自分

> |このセキュリティモデル関連の問題は、私にとってはRubyを始めてから最初の
> |「驚き」なのかもしれません。変な話ですが、これまでRubyについて新しいこ
> |とを知っても一切「驚き」がないんです。全部、「ふ〜ん、そんなもんだろう
> |と思ってたよ」という感じで納得できてしまうんです。
> 
> いやあ、レベル4については「それで本当にセキュリティが確保で
> きるサンドボックスが実現できるのか」という根本的な疑問がある
> ので、ひっかかるのではないでしょうか。この疑問はいまだに解決
> されていません。

いや、最初のうち「レベル4はappletとほぼ同じだな」と気がついてから悩ん
でいません。というか、レベル4が一番わかりやすかったです。

--
「stableでなければ生きていけない。unstableでなければ生きてる意味がない」
中島 拓 (株)ブレーン 研究部 (tnakajima@brain-tokyo.jp)
http://www.brain-tokyo.jp/research/amrita/

Thread

Prev Next

In This Thread

Prev Next

[#37203] [Q]"j"sort — Masaaki Sakano <mas@...>

[#37217] Symbol#to_int — Take_tk <ggb03124@...>

[#37220] ■CHISE Symposium 2003 開催の御案内 — Kouichirou Eto <2003@...>

[#37230] CGIからファイルをダウンロード — FUJIOKA Takeyuki <fuji@...>

[#37234] Rangeと増分値 — Masahiro Sato <msato@...>

[#37235] CygwinでRuby/SDLのコンパイル — katata@...

[#37237] WindowsバイナリでのResolvのエラー — Takeshi Fukuyama <ml@...>

[#37239] Rucheme / Scheme(subset) interpreter on Ruby — "K.Sasada" <ko1@...>

[#37240] Exerbの終了ステータスについて — 橋本昌典 <hasimoto@...>

[#37247] world-writableなディレクトリにあるスクリプトをrequire — 堀川 久 <vzw00011@...>

[#37249] ruby 1.8でのCGI#[]の挙動 — 堀川 久 <vzw00011@...>

[#37250] GTK::Combo — "TOYOFUKU Chikanobu" <toyofuku@...>

[#37256] ケサランパサラン — Shin-ichiro HARA <sinara@...>

[#37267] [ANN] ruby-fcgi-0..8.2 released — MoonWolf <moonwolf@...>

[#37271] [ANN] Exerb/Exerb-CC 2.6.3 — Yuya Kato <yuya-ml@4th.to>

[#37272] Re: Exerbの終了ステータスについて — 橋本昌典 <hasimoto@...>

[#37273] [ANN]Ruby/JS 0.0.4 — たむらけんいち <sgs02516@...>

[#37274] puts of ruby-1.8.0/cygwin — Shin-ichiro HARA <sinara@...>

[#37283] 両方の式とも常に評価する論理和・論理積 — Shinya Kawaji <kawaji@...>

[#37298] SQL文を調べるライブラリはありますか？ — Take_tk <ggb03124@...>

[#37304] ruby/slang — Satoshi Osabe <osabe@...>

[#37306] String#strip — Koji Oda <k-oda@...>

[#37318] 継承されたクラスの定数の扱いについて — KIMURA Shusaku <skimura@...>

[#37324] optparse は使いやすいですか？ — 成島 寛則 <narushima@...>

[#37340] セッション変数 CGI::Session の使用法 — Akimichi Tatsukawa <akimichi@...>

[#37342] 起動時コマンドの再現 — sakazuki <QZS01353@...>

[#37349] Jcode と YAML.rb — Takashi & Kayoko Sano <tksano@...3.kcn.ne.jp>

[#37354] 正規表現の位置指定の使い方 — AOKI Yoshihiro <aoki@...>

[#37364] Re: 正規表現の位置指定の使い方 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#37367] Re: 正規表現の位置指定の使い方 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#37370] Secure「ではない」script の書き方 — satoru takahashi <hisai@...>

[#37371] Re: 正規表現の位置指定の使い方 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#37374] [Q] drubyでai_family not supported (SocketError) — eda@...

[#37390] REXMLの日本語エンコーディングについて — tousaki@...3.netwave.or.jp

[#37398] Re: REXML の日本語エンコーディングについて — siena@... (Siena. / SHINAGAWA, Norihide)

[#37401] [ANN] Ruby-GNOME2-0.4.0 — Masao Mutoh <mutoh@...>

[#37403] rd2plain-lib — "Shirai,Kaoru" <shirai@...>

[#37404] [ANN] SWIG 1.3.18リリース — Shibukawa Yoshiki <yoshiki@...>

[#37421] Tmpfile.newがデフォルトで/tmpを利用すること — Tadatoshi Kamimura <kamimura.tadatoshi@...>

[#37432] 例外について — masahiro kawata <mas@...>

[#37437] [ANN] Exerb/Exerb-CC 2.6.4 — Yuya Kato <yuya-ml@4th.to>

[#37439] [ANN] Ruby/zlib 0.6.0 — UENO Katsuhiro <unnie@...>

[#37440] [ANN] Ruby-GNOME2-0.4.0 binaries(Cygwin, Debian) — Masao Mutoh <mutoh@...>

[#37444] file loading/class instanciation from C — Latte <latte@...>

[#37446] mswin32版のCGIのoffline modeについて — Nonta <nonta@...>

[#37452] UTF-8 <-> 他の文字コードの変換 — keiichi matsunaga <ma2@...>

[#37455] html-parser — 堀川 久 <vzw00011@...>

[#37460] ENV.delete_if — 堀川 久 <vzw00011@...>

[#37463] Ruby Hanami Kansai 2003 — YANAGAWA Kazuhisa <kjana@...4lab.to>

[ruby-list:37430] Re: Secure「ではない」script の書き方

Thread

In This Thread

[#37247] world-writableなディレクトリにあるスクリプトをrequire — 堀川久 <vzw00011@...>

[#37249] ruby 1.8でのCGI#[]の挙動 — 堀川久 <vzw00011@...>

[#37324] optparse は使いやすいですか？ — 成島寛則 <narushima@...>

[#37455] html-parser — 堀川久 <vzw00011@...>

[#37460] ENV.delete_if — 堀川久 <vzw00011@...>