まつもと ゆきひろです

In message "Re: [ruby-dev:26485] Re: $SAFE=1 の open-uri 	で redirect  	時にエラー"
    on Sat, 9 Jul 2005 00:23:08 +0900, Shugo Maeda <shugo / ruby-lang.org> writes:

|アプリケーションだと比較的判断しやすいと思うのですが、ライブラリ
|だとどういう使われ方をするかわからないのでuntaintは慎重に行った
|方がいいかもしれないですね。
|dupしないでuntaintしたりすると、思わぬところで使われていて問題
|になったりしそうですし。

dupした方が安全でしょうね。

|redirect先との通信が成功するかどうかではなく、redirect先との
|通信が何らかのセキュリティ上の問題を引き起こす可能性があるか
|どうかを判断の基準にするべきではないでしょうか。

「redirect先との通信が何らかのセキュリティ上の問題を引き起こ
す」というのは具体的にどういうケースなんでしょうか。RFC2616
くらいちゃんと読んでから考えるべきかもしれませんが。