なひです。 > From: "GOTOU Yuuzou" <gotoyuzo / notwork.org> > Sent: Wednesday, August 13, 2003 5:22 PM > > > これは、ぼくもそう思ってました。こちらとしても、https の互換性を > > > 保つために内部構造が変更できなくて泣いてたんです。できるものなら > > > ぜひメンテさせてほしいです。 お互い同じようなことを思ってたのが、解決できてよかったです。:-) http://www.rubyist.net/~matz/?date=20030806#p01 継承利用者に対する債務の制御は難しいですね。 class local instance variableは、この制御に効きそうです。 Javaのpackage localやfinal ClassはRubyに合うんでしょうか。 > > ちなみにhttp-access2は独自のSSLインタフェイスとラッパ実装を > > 持ってます。この辺はセキュリティに対するポリシーの違いということで、 > > いつもゆぞさんと衝突してます。:-) > > SSLSocket::verify_modeのデフォルトの話ですか。 > やっぱり反論するに足る動機はないので変更しましょうか。 > > # 現在の net/https ではサーバの証明書を検証しないのがデフォ > # ルトになっていて、なひさんにそれはダメなんじゃないかと指摘 > # されています。検証を有効にするには、ユーザの責任でCA証明書 > # を用意しなくちゃいけないので、簡単に試せるようになんとなく > # 無効にしているに過ぎません;-) われながら、なひのポリシー(サーバ証明書を検証しないものはSSLとは 呼ばない)は、標準添付モノに適用するには厳しいと思うので、 * net/httpsで、Net::HTTP#verify_modeがnilならwarningを出し、 VERIFY_NONE(サーバ証明書の検証なし)をセットする。 * Ruby/OpenSSLではOpenSSLのデフォルト値任せ。 くらいかなーと思います。