志村

In message "[ruby-list:40401] Re: 1.8のcgi/session.rb", 
<1102931836.082028.29269.nullmailer / x31.priv.netlab.jp>, 
Yukihiro Matsumoto wrote...

 >|これだけ大きな変更だと考えると、
 >|cgi/session を 非推奨にして、
 >|別名のライブラリにするというのは
 >|選択肢としてあってもいいような気がします。いかがでしょうか。
 >
 >非推奨にする(積極的に対応しなければ残ってしまう)程度でいい穴
 >ではないように思いますが、いかがでしょうか。というか、セキュ

非推奨で残すのはちょっと危険だと思います。
知らずに使い始める or 継続して使い続ける 可能性を考えると不安です。

 >また、大きな変更とおっしゃいますが、外側からセッションIDを注
 >入するような(私の目から見たら不正な)ことをしなければ、問題は
 >発生しないはずです。

確かに、ここで cgi/session の動作が変わるのも大変かもしれません。
しかし、
他の環境(僕のようにPHPから) から Ruby に環境を変えた時、
無効なセッションIDがきたら「当然」エラーだろうと思ってプログラムしていて
大きなセキュリティホールを開けてしまうような心配もあります。
その時、たとえ非推奨であっても、cgi/session が使用可能な形で付属してるのは
名前が名前なだけに、間違えて使ってしまいそうで不安です。
# 杞憂ですか?
---------------------------------------+---------+---------+以上 2004/12/13

志村弘之  mailto: shimurahiroyuki / obun.co.jp