とみたです。

On Mon, 13 Dec 2004 23:09:10 +0900
Yukihiro Matsumoto <matz / ruby-lang.org> wrote:

> |# というか、そんなに重大な問題であるのならば、1.8.1用の
> |# cgi/session.rbの対応パッチをリリースして、1.8.1のまま
> |# 使う人もフォローしないとまずいんじゃないかと思うのですが、
> |# それほど深刻ではないということなんでしょうか?

> 少なくとも1.8.2で現状を許容してよいほど楽観はできないと思っ
> ているのですが、どこまで急いで対応すべきか、どこまで確実に対
> 応すべきかはよくわかんないです。悩んでます。

ええと、ちゃんと議論を理解できてないかもしれないんですが、問題は、「サー
バ側に存在しないセッションIDがブラウザから渡されてきたときに、そのIDを
そのまま使ってしまう」ということだけなんですよね。

であれば、「サーバ側に存在しないセッションIDがブラウザから渡されてきて
も、そのセッションIDを使わずに、セッションIDが渡されなかった時と同じよ
うに振る舞う」というので良いのではないでしょうか。

つまり、"new_session"=>false 時は例外発生で、"new_session" 未指定時は
新しくセッションIDを生成する…ということで。

例外が勝手にあがるようになってしまうと、互換性が失われて、結構大変なこ
とになると思います。あちこちで悲鳴があがりそうな…。

# CGI#[] は大変だった… というか、今でも大変… (^^;

> えーと、何度も繰り返しますが、私自身は経験が少なく、単独で適
> 切な判断を下せる自信は全然ありませんので、極端なことを言われ
> ても当惑するだけです。あんまりいじめないでくださいな。

私もセッション制御やクッキーは経験は多くないので、外したこと言ってたら
すいません。

-- 
とみたまさひろ <tommy / tmtm.org>