まつもと ゆきひろです

In message "[ruby-ext:01426] Re: mod_ruby security"
    on 00/11/22, Shugo Maeda <shugo / ruby-lang.org> writes:

|> スクリプト実行を許すユーザーならば、そこは信用する、どうせ権限はnobodyだし、
|> という割り切りもあるかもしれません。しかし、SAFEをあげておくとか、組み込み
|
|一応こういうスタンスで、デフォルトで$SAFEは1程度にしています。
|これはどちらかというとプログラマのミスでセキュリティホールを作っ
|てしまうのを防ぐためですね。

mod_perl, mod_pythonはどのようにしているか調査してくださる方
はいらっしゃいませんか?

|重要なグローバル変数や、組み込みクラス・モジュールの変更だけ禁止
|するようなセキュリティレベルがあった方がよくないでしょうか?
|> まつもとさん
|
|どこまで制限するべきか、というのはなかなか難しいですね。

どのような制限が必要なのか定義することがまず最初でしょう。

                                まつもと ゆきひろ /:|)