2002-09-02 [長年日記]
λ. starts at bottom of page
縦書きの日本語の中にアラビア文字を埋め込む時には、改行方向を合わせるために下から上へ書く気がします*1が、その事なのかなぁ……
*1 縦書き日本語の中にアラビア文字を埋め込んだ例を実際に見たことがないので、実際のところはわからないけど。アラビア語の授業を取っている知人に聞いても良くわからなかった。
λ. mozilla 1.1
入れてみた。若干変な部分や不安定な部分があるような気がするけど、概ね快適。
λ. キャラクター・アート展
フジサワ名店ビルでやってたのを見に行こうと思っていたのに、すっかり忘れてしまったいた。
λ. DRbにセキュリティ・ホール
DRbにセキュリティ・ホールを見つけました。DRbServer#threadの$SAFEを上げてない限り、何でも出来てしまいます。これは後で咳さんに報告せねば……
λ. 夢
どっかの駅にいる。まだ朝早く人はまばら。プラットフォームへと階段を降りると、すぐ近くに何か黒いものがぶら下がっている。見てみると人だった。首を吊ったようだ。黒っぽいセーラー服を着ているのを見ると、どこかの学生だろうか。顔は良く見えない。何だかカラスよけに吊されているカラスの死体を連想させる。
いつのまにかやってきていた電車に乗ると、シートを占領して寝そべって雑誌を読んでいる女性がいる。その隣しか空いていなかったのでそこに座る。瞳が綺麗。話してみると、先ほどの首吊り死体の姉らしい。
むー。報告まってます。
dRubyはそういうもんだと理解してます。「$SAFEがあがってなければなんでもできます」というRubyの機能を、そのままネットワーク越しに提供している。<br>というなひは「evalも許可しちゃえ」派。
たしかに、もとのRubyが「何でもあり」だから、<br>そこから制限していってセキュリティを確保しようというアプローチには<br>どうしたって限界があるんですよねぇ。<br><br>今回の件で「いっそのこと全部許可しちゃえ」というのも<br>アリかなという気がしてきました。
privateは呼べないようにするけど、メソッドの制限はなくそうかと<br>思います。2.0ではsslとかunixドメインソケットとか使えるから、<br>セキュリティは違うレイヤーで‥、かなぁ。
そうなると、DRbAuthじゃ認証するのが遅すぎる事になりますよね。<br>やっぱり認証に関しても、下のレイヤでやることになるのかな……<br><br>ところで、早速こんなページが出来たんですね。<br>http://rwiki.jin.gr.jp/cgi-bin/rw-cgi.rb?cmd=view;name=dRubySecurity<br>methodメソッドの事を、すっかり見落としていました。
$SAFE=1ならだいぶよくなりそうですが、DRbAuthをだめかなあ。<br>うーん。検証しなきゃならないなあ。