タグ:ruby
2007/03/29: Ruby on Rails と Ruby のセキュリティモデル
Kodougu で必要だったので、Rails アプリ上で Ruby の eval を使用したときの安全性を調査していました。ご存知のとおり、eval 関数は、文字列で渡された Ruby ソースコードを実行するものです。しかし、外部からスクリプトを渡して実行しようとすると、セキュリティの観点から危険な場合があります。以下のような例(外部から渡された script が DB を操作している)です。
デフォルトでは上記のコードは動作します。安全ではない eval です。しかし、$SAFE = 4 にして上記のコードを実行すると、SecurityError 例外が発生します。Ruby のセキュリティモデル Level 4 には、「汚染されていないオブジェクトの状態の変更」を禁止するルールがあるので、これに引っかかったようです。Level 4 では以下のようなコードでも SecurityError 例外が発生します。
では、Rails でも Level 4 で eval すれば安全・・・というと、ちょっと自信がありません。たとえば以下のようなコードは動作してしまいます。
上記のようなコードの動作を許可すると、DB のユーザ、パスワードとかを取れてしまいます。見られたくない情報です。eval の用途によっては非常に危険です。危険な例としては、ページ上で eval で評価した結果を表示する場合などが挙げられます。Rails の全メソッドに rb_secure(1) とかを仕込めばいいのでしょうかね。(^^; (ありとあらゆる面から論外でしょうけど。)
Ruby on Rails でサンドボックスというのはさすがに無理ですかね~。。。
script = <<-EOS
# ActiveRecord を操作する
@metaelement = Metaelement.new
@metaelement.name = "execute_eval"
@metaelement.save
EOS
Thread.start {
# $SAFE = 4 <- このコメントアウトを外すと SecurityError 例外発生
eval(script)
}.join
デフォルトでは上記のコードは動作します。安全ではない eval です。しかし、$SAFE = 4 にして上記のコードを実行すると、SecurityError 例外が発生します。Ruby のセキュリティモデル Level 4 には、「汚染されていないオブジェクトの状態の変更」を禁止するルールがあるので、これに引っかかったようです。Level 4 では以下のようなコードでも SecurityError 例外が発生します。
script = <<-EOS
@metaelements = Metaelement.find(:all)
EOS
Thread.start {
$SAFE = 4
eval(script)
}.join
では、Rails でも Level 4 で eval すれば安全・・・というと、ちょっと自信がありません。たとえば以下のようなコードは動作してしまいます。
script = <<-EOS
Metaelement.connection # DB のコネクションを取得。
EOS
Thread.start {
$SAFE = 4
eval(script)
}.join
上記のようなコードの動作を許可すると、DB のユーザ、パスワードとかを取れてしまいます。見られたくない情報です。eval の用途によっては非常に危険です。危険な例としては、ページ上で eval で評価した結果を表示する場合などが挙げられます。Rails の全メソッドに rb_secure(1) とかを仕込めばいいのでしょうかね。(^^; (ありとあらゆる面から論外でしょうけど。)
Ruby on Rails でサンドボックスというのはさすがに無理ですかね~。。。
Posted by あかさた
2007/03/16: Ruby の module のテスト
私は Ruby の module のテストは以下のように行っています。
他にも以下のような方法も考えられます。クラスを生成してからモジュールを拡張する方法です。
コードとしては以下がわかりやすいかも。明示的にテスト用のクラスを作成する場合です。
Ruby の module は Java や C# には無い概念なのでどういうテストをしたらいいのか悩みますね。
[code: def test_hoge
@dummy_object = Object.new
@dummy_object.extend(HogeModule)
assert ...hogehoge...
end]
他にも以下のような方法も考えられます。クラスを生成してからモジュールを拡張する方法です。
[code: def test_hoge
@new_class = Class.new
@dummy_object = @new_class.allocate
@dummy_object.extend(HogeModule)
assert ...hogehoge...
end]
コードとしては以下がわかりやすいかも。明示的にテスト用のクラスを作成する場合です。
[code: class Dummy
include HogeModule
end
def test_hoge
@dummy_object = Dummy.new
assert ...hogehoge...
end]
Ruby の module は Java や C# には無い概念なのでどういうテストをしたらいいのか悩みますね。
Posted by あかさた
2007/03/08: Ruby.NET Compiler を触ってみた
Ruby プログラムを .NET Framework 2.0 上で動作する DLL/EXE に変換する Ruby.NET Compiler ソフトウェアがあります。気になったのでちょっと調べてみました。
本記事は、Gardens Point Ruby.NET Compiler Beta Release(February 2007)に対応しています。
■ 知りたいこと
・ 既存の Ruby ライブラリが使えるか
・ 既存の .NET ライブラリが使えるか
・ 既存のアプリケーションに組み込めるか
・ ライセンスは使いやすいか
・ 安定度はどれくらいか
・ 開発は活発か
■ 調査結果
・ 既存の Ruby ライブラリが使えるか
実装していないようです。実装予定があるかどうかも不明です。
・ 既存の .NET ライブラリが使えるか
次のリリースで対応する(したい)ようです。
・ 既存のアプリに組み込めるか
ちゃんとコードは追っていませんが、高い頻度で動的に書き換えるのはパフォーマンス的にネックになりそう(※)ですが、それほどでなければ大丈夫そうです。
※ コンパイラであるためです。ただ、IronPython もコンパイル可能でわりと動的に書き換えてもそれほどパフォーマンスでネックにはならないので、このツールもこなれてくれば大丈夫ではないかなと楽観しています。IronPython を組み込む際は、ランタイムのロード時間のほうが問題になりました(IronPython というよりは .NET 系全般の問題)。ゲームとかリアルタイム性が必要なアプリの場合は、ランタイムを呼び出すタイミングをコントロールする必要があります。
(IronPython では、WinXP/P4 2.8GHz/1GB の PC で秒間 50 フレームで HelloWorld をパースさせたら CPU 使用率が 100% になった <- あたりまえ^^;)
コンパイラなので、既存のアプリに組み込むことは想定に入っていないのか、プログラミングインタフェースは、まだ整理されていないように見えました。IronPython のように 1 行で組み込むというわけにはいかないという印象を受けました。
・ ライセンスは使いやすいか
BSD ライセンスに近い印象を受けました。このページの Licensing という箇所を参照してください。以下の内容が書かれています。というわけで結構使いやすいのではないかと思っています。
続きを読む
本記事は、Gardens Point Ruby.NET Compiler Beta Release(February 2007)に対応しています。
■ 知りたいこと
・ 既存の Ruby ライブラリが使えるか
・ 既存の .NET ライブラリが使えるか
・ 既存のアプリケーションに組み込めるか
・ ライセンスは使いやすいか
・ 安定度はどれくらいか
・ 開発は活発か
■ 調査結果
・ 既存の Ruby ライブラリが使えるか
実装していないようです。実装予定があるかどうかも不明です。
・ 既存の .NET ライブラリが使えるか
次のリリースで対応する(したい)ようです。
・ 既存のアプリに組み込めるか
ちゃんとコードは追っていませんが、高い頻度で動的に書き換えるのはパフォーマンス的にネックになりそう(※)ですが、それほどでなければ大丈夫そうです。
※ コンパイラであるためです。ただ、IronPython もコンパイル可能でわりと動的に書き換えてもそれほどパフォーマンスでネックにはならないので、このツールもこなれてくれば大丈夫ではないかなと楽観しています。IronPython を組み込む際は、ランタイムのロード時間のほうが問題になりました(IronPython というよりは .NET 系全般の問題)。ゲームとかリアルタイム性が必要なアプリの場合は、ランタイムを呼び出すタイミングをコントロールする必要があります。
(IronPython では、WinXP/P4 2.8GHz/1GB の PC で秒間 50 フレームで HelloWorld をパースさせたら CPU 使用率が 100% になった <- あたりまえ^^;)
コンパイラなので、既存のアプリに組み込むことは想定に入っていないのか、プログラミングインタフェースは、まだ整理されていないように見えました。IronPython のように 1 行で組み込むというわけにはいかないという印象を受けました。
・ ライセンスは使いやすいか
BSD ライセンスに近い印象を受けました。このページの Licensing という箇所を参照してください。以下の内容が書かれています。というわけで結構使いやすいのではないかと思っています。
続きを読む
Posted by あかさた
2007/02/22: Ruby で動的にクラスの定義を変更する
そろそろ Ruby の勉強を本格的にしたいと感じたので、まずは動的にクラスを定義する方法を調べてみました。以下のコードでは、動的にクラスを定義して、アクセッサ(my_name)を追加しています。
ここまでは楽勝です。さすがは Ruby。(LL では大抵楽勝だと思いますが。)
# Class の定義
my_new_class = Class.new
my_new_class.class_eval("attr_accessor :my_name")
# Instance の生成
my_new_object = my_new_class.allocate
# 生成した Instance を使用する
my_new_object.my_name = "akasata"
printf "My name is %s!\n", my_new_object.my_name
ここまでは楽勝です。さすがは Ruby。(LL では大抵楽勝だと思いますが。)
Posted by あかさた
2007/02/09: ブラウザをリロードしても JavaScript の更新が反映されないことがある
Kodougu の開発中に気になったのですが、ブラウザをリロードしても JavaScript の更新が反映されないことがあるようです。キャッシュが効いているのでしょう。
Rails では、javascript_include_tag メソッドを使うと、以下のように JavaScript のファイル名の後ろに数字(たぶん時間)を追加して展開してくれます。これだと、アクセスするたびに URL が変更されるため、ブラウザのキャッシュの影響を受けません。
SVG では JavaScript のインクルードは xlink を使うため、Rails のヘルパーメソッドを使うことはできません。そこで、以下のように書いてみました。
これで、毎回更新が反映されるはず。
Rails では、javascript_include_tag メソッドを使うと、以下のように JavaScript のファイル名の後ろに数字(たぶん時間)を追加して展開してくれます。これだと、アクセスするたびに URL が変更されるため、ブラウザのキャッシュの影響を受けません。
[code: type="text/javascript">]
SVG では JavaScript のインクルードは xlink を使うため、Rails のヘルパーメソッドを使うことはできません。そこで、以下のように書いてみました。
[code: xlink:href="/javascripts/prototype.js?<%= Time.now.to_i %>" />]
これで、毎回更新が反映されるはず。
Posted by あかさた
2007/02/08: コーディング・スタイルが混ざってしまう
最近、C# と Ruby と JavaScript を使っているせいか、コーディング・スタイルが混ざります。つまり、JavaScript なのに Ruby の作法で書いてしまったり。これまでも、複数の言語を併用することは多かったと思うのですが、コーディング・スタイルが混ざるなんてあまりなかったのですが。(^^;
# しばらく仕事でコーディングしていなかったせいかな。
Ruby の場合(メソッド):
Java/JavaScript の場合(メソッド):
C# の場合(メソッド):
どうも、Ruby の書き方が気持ち良いらしく、JavaScript でも Ruby のような書き方をしてしまうことが多くあります。不思議と、C# で他の言語の書き方になってしまうことはありませんでした。
そろそろしっかりとしたコードを書くように心がけなくては。
# しばらく仕事でコーディングしていなかったせいかな。
Ruby の場合(メソッド):
update_attributes
Java/JavaScript の場合(メソッド):
updateAttributes()
C# の場合(メソッド):
UpdateAttributes()
どうも、Ruby の書き方が気持ち良いらしく、JavaScript でも Ruby のような書き方をしてしまうことが多くあります。不思議と、C# で他の言語の書き方になってしまうことはありませんでした。
そろそろしっかりとしたコードを書くように心がけなくては。
Posted by あかさた
2007/02/03: 文字列の比較
JavaScript で文字列の比較を行うにはどうしたら良いのか気になったので調べました。
JavaScript
プログラミング言語を変えるとき、どうしても神経質になるのが文字列の比較です。メジャーな言語によって推奨される方法が異なるのです。
Java(参照の比較は == を使う)
C#
Ruby(参照の比較は equal? を使う。)
C/C++(参照というかアドレスの比較は == を使う。)
Delphi(参照というかアドレスの比較は @s1 = @s2 ・・・だっけ???)
・・・誰か統一してくれ!
JavaScript
s1 == s2
プログラミング言語を変えるとき、どうしても神経質になるのが文字列の比較です。メジャーな言語によって推奨される方法が異なるのです。
Java(参照の比較は == を使う)
s1.equals(s2)
C#
(C# は Java スタイルでも良いが、こちらを参照せよ。)s1 == s2
Ruby(参照の比較は equal? を使う。)
s1 == s2
C/C++(参照というかアドレスの比較は == を使う。)
strcmp(s1, s2) == 0
Delphi(参照というかアドレスの比較は @s1 = @s2 ・・・だっけ???)
s1 = s2
・・・誰か統一してくれ!
Posted by あかさた
2007/01/28: トラックバックを受け付けるために、文字コードを変更する
トラックバックを受信するコードを実現しましたが、文字コードのことを考えていませんでした。はてなダイアリーなどは UTF8 なのですが、goo ブログは euc-jp らしく、UTF8 で運用しているブログでそのまま受信すると文字化けしてしまいます。そこで、受信したトラックバックの内容を UTF8 に変換するコードを書く必要があります。
Ruby で文字コードを変換する方法はいろいろとありますが、ここでは kconv を使用します。kconv を使用すると、文字コードの自動判別をさせながら utf8 に変換するコードを書くことができます。
例としては以下のようになります。toutf8 というメソッドが文字列を utf8 に変換しています。
もっと詳しく知りたい方は、こちらのページを参照することをお勧めします。
Ruby で文字コードを変換する方法はいろいろとありますが、ここでは kconv を使用します。kconv を使用すると、文字コードの自動判別をさせながら utf8 に変換するコードを書くことができます。
例としては以下のようになります。toutf8 というメソッドが文字列を utf8 に変換しています。
require 'kconv' @trackback.title = @title.toutf8 @trackback.excerpt = @excerpt.toutf8 @trackback.url = @url.toutf8 @trackback.blog_name = @blog_name.toutf8
もっと詳しく知りたい方は、こちらのページを参照することをお勧めします。
Posted by あかさた
2007/01/27: Ruby が Python を超える?
今日、Google で「Ruby」と「Python」で検索してインデックス数を比較してみました。
■ 日本語
Ruby :2830000
Python:2580000
■ 全言語
Ruby :97600000
Python:92400000
おお! ついに Ruby が Python を超えた!とか思ったのですが、「Ruby Programming」「Python Programming」で検索してみたところ・・・。
Ruby :32700000
Python:63300000
宝石の Ruby と蛇の Python じゃノイズの量が違うってことでしょうね。まだまだ Python の方が優勢ですねぇ・・・。
■ 日本語
Ruby :2830000
Python:2580000
■ 全言語
Ruby :97600000
Python:92400000
おお! ついに Ruby が Python を超えた!とか思ったのですが、「Ruby Programming」「Python Programming」で検索してみたところ・・・。
Ruby :32700000
Python:63300000
宝石の Ruby と蛇の Python じゃノイズの量が違うってことでしょうね。まだまだ Python の方が優勢ですねぇ・・・。
Posted by あかさた
2007/01/12: 「スクリプト言語とタイプセーフな言語の生産性」を読んだ
ひがさんのブログにスクリプト言語とタイプセーフな言語の生産性という記事が載っていて、Ruby と Java の生産性に関する話題に触れていました。SOA をやってて強く思ったのですが、やはりこの世界 Java な人は多く、タイプセーフな言語の強みを語って Ruby などのスクリプト言語の盛り上がりに対抗しようとする人が多い気がします。
# 会社でもそういう人の話を何回も聞かされたし。
ひがさんの指摘されているとおり、いろいろ道具立てがそろってきた今、Ruby(Rails)と Java の間に生産性の有意な差があるとは思えません。というか、最近仕事で軽くではありますが、Eclipse + Ruby(Rails)と Eclipse + Java(Seasar)を使いましたが、生産性という観点でそれほどの差は感じませんでした。
どっちがアジャイルかと聞かれると、「うーん、似たり寄ったりかなぁ」と答える気がします。プログラミング 2.0でオライリーの意見を紹介したとおりです。この記事にしても、あくまでマーケティング的な意味合いで、書かれているのでしょうね。
もっとも、無理に対決話に持っていく必要はないですけど。
# 会社でもそういう人の話を何回も聞かされたし。
ひがさんの指摘されているとおり、いろいろ道具立てがそろってきた今、Ruby(Rails)と Java の間に生産性の有意な差があるとは思えません。というか、最近仕事で軽くではありますが、Eclipse + Ruby(Rails)と Eclipse + Java(Seasar)を使いましたが、生産性という観点でそれほどの差は感じませんでした。
どっちがアジャイルかと聞かれると、「うーん、似たり寄ったりかなぁ」と答える気がします。プログラミング 2.0でオライリーの意見を紹介したとおりです。この記事にしても、あくまでマーケティング的な意味合いで、書かれているのでしょうね。
もっとも、無理に対決話に持っていく必要はないですけど。
Posted by あかさた