上野と申します。

mod_ruby の環境で、

module Kernel
  alias_method :o_print, :print
  def print(*target)
...
  end
end

こういうコードを実行すると、そのhttpdで以後実行されるスクリプトのprintが
永続的に変更されてしまいますね。踏まれやすいようにしかけておけば、
悪意のあるユーザーが同じサーバーのスクリプトを高確率で横取りし続ける
ことが可能です。

現状でこれ(=グローバルな環境の変更)を防ぐ仕組みは用意されていますか?

スクリプト実行を許すユーザーならば、そこは信用する、どうせ権限はnobodyだし、
という割り切りもあるかもしれません。しかし、SAFEをあげておくとか、組み込み
クラスやモジュールを変更できないようにするとか、なんらかの対策があると
ありがたいです。

# 私の管理するサーバーでmod_rubyの要望が上がってるんですが躊躇してます。

-- 
UENO Kazuaki <kazu / a-u.net>
(MSN Messenger: kazuau / hotmail.com)