まつもと ゆきひろです

In message "Re: [ruby-list:40400] Re: 1.8のcgi/session.rb"
    on Mon, 13 Dec 2004 18:31:27 +0900, Takeyuki Fujioka <fuji / ftserve.net> writes:

|> おっしゃることはもっともです。ただ、これだけ大きなセキュリティ
|> ホール(の素)を放っておくという選択は取りにくいと思います。す
|> いません。
|
|これだけ大きな変更だと考えると、
|cgi/session を 非推奨にして、
|別名のライブラリにするというのは
|選択肢としてあってもいいような気がします。いかがでしょうか。

非推奨にする(積極的に対応しなければ残ってしまう)程度でいい穴
ではないように思いますが、いかがでしょうか。というか、セキュ
リティ問題でなければこんな変更なんかしたくありません。

また、大きな変更とおっしゃいますが、外側からセッションIDを注
入するような(私の目から見たら不正な)ことをしなければ、問題は
発生しないはずです。

|急に動かなくなるのではなく、徐々に対応していって、
|将来的には全部対応せざるを得ないと言う形が私の理想です。

機能強化などはそのような対応が望ましいと思います。