京都の中嶋です。 参加1日にして2度目の投稿ですが。。。
ruby 1.4.2 における、セキュリティチェック機能について、
質問させてください。
  ふと、誰でもがrubyで遊べるWebページを作ろうと思いたって

http://eco.hompo.co.jp/~ringo/hack/rubyonline/ruby.cgi?code=print%20%22Hello%20World%22

みたいなページ(CGI)を作ってみたのですが、そのページの
安全性を知りたいのです。

  CGIの中身を単純に説明すれば、ユーザーからスクリプトを
受けとってサーバーでrubyインタプリタに渡すだけの単純なものです。
もちろんそんなことをすればセキュリティ的に大問題なので、
ruby -T3 しています。-T4にしないのは、標準出力に出力させ
たいからです。
  -T3 によって、fork関係、ファイルアクセス関係、eval関係
など危険そうなことはできないことは確認しましたが、まだ穴
があるのかもしれません。 何か、まだ危険の原因になることが
あれば、御教授ください。
もちろん、根本的に危険なことはするな、と言われそうですが、
それでも、なぜ危険なのか、を知りたいのです。

では、よろしくお願いします。


------------
中嶋謙互 ringo / hompo.co.jp