-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 [ruby-talk:272573]で"it's your business"と言ったし、必要な情報は全て提供 しているので、残りの判断は任せています。が、卜部さんとこで議論が止まって やまだあきらさんも困ってるようなので、繰り返しの説明。 Urabe Shyouhei wrote: >> 了解です。ただし、「警告だけ出る状態を採用」のことを、「脆弱性を修正しま >> した」と呼ぶのは問題でしょう。 > > んー、私の方が理解が足りてないとかでひょっとしてはずしてたら大変申し訳な > いのですが、RFC2818における3.1. Server Identityの > >> If the hostname is available, the client MUST check it against the >> server's identity as presented in the server's Certificate message, >> in order to prevent man-in-the-middle attacks. > を、これまではVERIFY_PEERにおいても満たしていませんでしたが、今回 > 1.8.5/1.8.6でもVERIFY_PEERな場合において満たすようになったと思うのです > が、これは修正と呼ぶには弱いんでしょうか。 上記「MUST check」の内容は、引用部分の少し後ろに、より具体的に書いてあり ます。そして現行1.8.5/1.8.6が、そのうちの"SHOULD"を無視しているというの は、[ruby-list:44071] [ruby-talk:272573]で指摘した通り(卜部さんのリリー ス告知への最初の返信)。というわけで、RFC2818の3.1を「満たすようになっ た」とは思わないし、「脆弱性を修正しました」と呼ぶのは問題、という認識も 変わりません。 とはいえ、"互換性"のため、卜部さんの判断で"SHOULD"を無視するのは、それは それで判断ですからよいでしょう。ただしruby_1_8は既にSHOULDを満たすように 変更しているので、1.8.7では変更になります。 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (Cygwin) iQEVAwUBRw2JVR9L2jg5EEGlAQKahAf+O7cy52+rqu8V5ARxbsRLBhYGuZjIe0nL P9lP5hb6ZRCXT/kB9+JZqogDC3g3pUUf3hzN3KeUL74GkVbHIBDbJMZBHGIMm03N UJ4GiDavpDKUXvPwVei7YrPabFOXynhl3RI9bnFaePr3xzTXchQZL1XfHBohv1Rw 7IDNHM4wE60GHAWDKu9wi90mluYF9UbCA6tM2TDs2Z9IqU6Ss/t686o/p4CaDIsH bOPgcJSSZXb5mFAPuiZ6F9QBamuAwnvBrg4LKWwneqZZwLRJ9C9T1MjUHu36xcpY 6Yv3+fKqCY2NBvJJApNrVSqg1AHCgXH8sv0uKreS+o5dVt0oIAXC/Q== =h6hC -----END PGP SIGNATURE-----