まつもと ゆきひろです

In message "Re: [ruby-dev:35239] Re: [PATCH] freeze required_paths in gem_prelude.rb"
    on Thu, 26 Jun 2008 10:03:38 +0900, Urabe Shyouhei <shyouhei / ruby-lang.org> writes:

|> いや、ないですね。が、セーフレベル4はより積極的に「保証しない」
|> と明示した珍しい例であることも事実です。
|
|なんだそりゃ。じゃあその辺に転がってるArray#replaceとかの機能よりも$SAFE
|というあからさまにセキュリティに関連している機能の方がより危ないってこと
|ですか?その発想は俺にはないです。設計として破綻しています。

山口さんからも指摘がありましたが、セーフレベル4ということはコー
ドが信頼できないということですから、信頼できるコードから実行
されるArray#replaceよりも、信頼できないコードを実行するセーフ
レベル4の方がより危ないのは私の観点からは当然に思えます。

|個別のケースを相手してるとキリがないので要点だけ主張しときますが、そうい
|う「○○の場合はオープン」みたいな判断を報告者に押し付けないでください。ク
|ローズドな議論の対象にはならないと判断するべきなのはよりRubyの実装に詳し
|いはずのRuby Security Teamの側であって、報告者ではなのです。セキュリティ
|問題かどうかを見誤って0-dayが発生した時に報告者がタコ殴りになるような状
|況だと萎縮してしまって出てくるものも出てこないです。そういうときに批判さ
|れるのは「中の人」だけで充分です。

セーフレベル4の件はおいとくとして、それ以外の場合に「脆弱性に
関係ありそうならsecurity」という原則に反対するつもりはありま
せんし、変更するべきだと考えているわけでもありません。今後も
そのように運用するべきだと思います。

が、こちらで「任意のコードを実行できそうにない」、「セキュリ
ティ上重要な問題ではない」と思った時点で積極的に公開バグ修正
に切り替えてもよかったんじゃないかと思います。私の理解が正し
ければ今回のは単なるinteger overflowで、これまでもruby-devな
どで普通に対応してきたものと同根でした。

前のメールで「security送り」などという表現を使って誤解を招い
たことは謝罪します。真意は「securityに報告されたからという理
由でいつまでもクローズで対応し続けるのはどうか」でした。

                                まつもと ゆきひろ /:|)