ruby-list

なひです。いつもありがとうございます。

> From: "Minero Aoki" <aamine@loveruby.net>
> Sent: Wednesday, December 03, 2003 1:01 AM

> [ruby-dev:22013] HTTP_PROXY
> 
>   TANAKA Akira introduced following web page:
> 
>     http://ftp.ics.uci.edu/pub/websoft/libwww-perl/archive/2001h1/0072.html
> 
>   This page describes the security hole about HTTP_PROXY.  HTTP server
>   overwrite CGI programs' HTTP_* environment variables by request
>   headers, HTTP_PROXY is overwritten by Proxy: HTTP header.
>   So HTTP clients can overwrite HTTP_PROXY environment variable.
>   If CGI programs use HTTP library and the library uses HTTP_PROXY,
>   it causes security hole.

holeをcauseというのはどうかなと思いました。
causeならsecurity problem?

>   Akira pointed out some standard libraries uses HTTP_PROXY without
>   checking.  Related libraries are:
> 
>     * open-uri.rb   (maintainer: TANAKA Akira)
>     * SOAP4R        (maintainer: NAKAMURA Hiroshi aka NaHi)
>     * (net/http)    (maintainer: Minero Aoki)
> 
>   Akira (open-uri maintainer) decided to check if the library is
>   used in CGI programs, by referring to REQUEST_METHOD environment
>   variable.
> 
>   NaHi (SOAP4R maintainer) decided to see use_proxy environment
>   variable.  If ENV['use_proxy'] is set, SOAP4R uses HTTP_PROXY.
>   Otherwise it ignores environment variable.

実際にはENV['soap_use_proxy']が'on'のときのみ、ENV['http_proxy']や
ENV['no_proxy']などを利用することにしました。おそらく次の週では
もう紹介されないと思いますので、そのように変更していただけると
説明の手間が減って助かります。。

>   See each CVS HEAD source code and their rdocs for details.

ちなみにsoap4r, wsdl4r, xsd4rにはrdocはありません。

# 今後付ける気もあまりなかったりして。drb/drb.rbを見て以来、
# これは無茶だと思うようになった。