2007年12月 5日

[ruby-list:44308] Re: DRbObject が直接参照されることは無いのでしょうか

高木です。
御世話になります。

07/12/04 に Masatoshi SEKI<m_seki@xxxxx> さんは書きました:

> > dRuby でアプリケーションを作成しています。
> > セキュリティ面について、教えてください。
> >

> >
> > 下記のような場合は内部オブジェクトが参照されて問題ないのですが、
> > それ以外の方法で内部オブジェクト参照される危険性があるので
> > は無いかと気にしています。
> >
> > front = DRbObject.new_with_uri(uri)
> > inner_object = front.inner_object()
> >
> >
> > # 多分対策しているんじゃないかと思っているのですが...
>
> object_idがわかるなら、直接参照可能です。
> そして、IdConvを差し替えれば対策できます。

やはり直接参照が可能なのですね。了解いたしました。
IdConv の差し替えは検討してみます。

> しかし、
> そういった悪意をもったなにかを気にする状況に(それが危険であ
> るような状況に)、
> dRubyは向かないように思います。
>
>
> dRubyはセキュリティ面に関してほとんどなにもしません。
> # Rubyのメソッドの可視性程度の制御
>
> 外部から自由にアクセスできるところで運用すべきではありません。
> 安全なネットワーク、あるいはマシンを準備して運用できないもの
> でしょうか?

ネットワークに関しては、SSH のポート転送を利用して接続するので、
安全な環境です。利用も LAN の中だけですし。

個々のユーザーが自分のデスクトップマシンより、
一台のサーバマシンに接続して、デスクトップ ←→ サーバ間で
お互いに通信する形になるため、サーバ内で他人の空けたポートに
接続することで、なりすましをされることを危惧しています。


# LAN 内のことなので、気にしすぎという気もしていますが。

投稿者 xml-rpc : 2007年12月 5日 02:45
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/67274
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。