ただただしです。

すみません、見落としていました。

matz / ruby-lang.org (Yukihiro Matsumoto) wrote:
>|「$SAFE == 4 においてこれらへのアクセスを禁止することを
>|  どう思われますでしょうか？」
>|
>|私自身は，これらへのアクセスを禁止しても問題がなさそうなので
>|少しでも危険性があるのなら禁止してしまうべきかと考えています．
>|ですが，私が思い付かないだけで「禁止されては困る」というケースも
>|あるかもしれません．
>|ぜひ意見をお聞かせ下さい．
>
>返事がありませんね。実は私としてもいいのかだめなのか判断する
>材料を持たないのでした。

「これら」というのは、元メールにあった:

>  ENV
>  RUBY_PLATFORM  (PLATFORM)
>  $LOAD_PATH     ($:, $-I)

すべてのことを指していますよね?

非常に具体的な例なんですが、tDiaryのプラグインでENVを読み出しています。
ENV['HTTP_HOST']とか、ENV['REQUEST_URI']とか。これが禁止されると、現状、
セキュアモード($SAFE == 4)で動いているいくつかのプラグインが使えなくなっ
てしまいますね。

CGIの場合、ENV経由でリモートホストの情報が渡されてくるので、これが使えな
いとかなり不自由になります。「(動作している)マシン環境に関する情報」をつ
ぶすのは賛成ですが、それ以外の情報は取れても良いと思います。

━━━━━━━━━━━━━━━━━
ただただし <http://sho.spc.gr.jp/>
♪ツッコミは、短く鋭く愛を込めて。
━━━━━━━━━━━━━━━━━