まつもと ゆきひろです

In message "Re: [ruby-dev:35235] Re: [PATCH] freeze required_paths in gem_prelude.rb"
    on Thu, 26 Jun 2008 03:09:02 +0900, Urabe Shyouhei <shyouhei / ruby-lang.org> writes:

|Yukihiro Matsumoto さんは書きました:
|> Ruby開発の初期から、セーフレベル4の完全性を保証したことはない
|> はずです。あれはあくまでも参考程度の存在です。保証してない安
|> 全性の欠陥をsecurityで非公開に議論しなければならない理由はな
|> いのでは。
|
|まつもとさんの中で有史以来Rubyの諸機能のうちで安全性の保証を*つけた*例が
|あるのなら、その件に関して詳しく例示していただきたいですね。

いや、ないですね。が、セーフレベル4はより積極的に「保証しない」
と明示した珍しい例であることも事実です。

ちゅーか、なんでもsecurityでクローズに議論するのはあんまり望
ましくないんじゃないかと思うわけです。実際にできた人はいない
のにinteger overflowで「任意のコードが実行可能」とか言われた
り、おかげで広くテストができなくて「Railsが動かねー」とか文句
言われたり。なんだか不健全な気がします。

私自身でも具体的な線引きができているわけではないですが、少な
くともセーフレベル4はクローズな議論対象から外れるのではないか
と。あと、単なるsegmentation faultなどをDOSと称してsecurity送
りにするのもどうかと。

                                まつもと ゆきひろ /:|)