ruby-dev

Issue #4388 has been updated by Motohiro KOSAKI.

Description updated

こちら、いままさに私もはまっています。
現代的において認証つきPROXYを使っているのは企業ネットワークで認証つきPROXYを使っており、外に出るのに必要という
状況であり、マルチユーザではつかわないか、もしくは、シェアするのは全員同僚という環境だと思います。
よって、わたしもそうですが、wgetその他を通すために環境変数にパスワードは入れています。他に方法がないので。
デスクトップのwidgetなど含めるとHTTP使うソフトは１００を超えるので設定してられないし、設定ファイルないものも多い。

よって、実質的にはrubyのこの気遣いはセキュリティ向上にほぼ貢献していないと認識しています。

現在、http_proxy, HTTP_PROXYのユーザ、パスワードを無視するのって、rubyとemacsだけですかね。わたしが普段つかう環境だと。
あまりに不便なので（OSにバンドルされてパッケージのどれがRubyで実装されてるかなんて知らんがな）、変更を提案します。

論旨としては

１） セキュリティ的に問題になるのは環境変数に格納した時点であり、環境変数に格納されているパスワードを Ruby が無視したところで
   セキュリティはまったく上がっていない。
２） 他のソフトのために、環境変数にパスワードをいれざる得ないので、Rubyの挙動によってユーザーの行動を変える方向に促すことが出来るとは思えない
３） 実運用的には、認証PROXYの内側にいる場合でかつ、マシンを共有するユーザーがuntrustなケースは、２１世紀にはほぼ思いつかない

の３点により、セキュリティが向上しておらず、単に不便を強要するだけに終わっていると思います。
RUBY_PROXY_AUTH_BY_ENV=1 みたいな環境変数で opt-in でもいいですが、たんにFAQが増えるだけじゃないかなあ。


----------------------------------------
Bug #4388: open-uriで環境変数http_proxyを使うときに認証付きのProxyが使えません
https://bugs.ruby-lang.org/issues/4388#change-58641

* Author: あつし よしだ
* Status: Rejected
* Priority: Normal
* Assignee: 
* ruby -v: -
* Backport: 2.1: UNKNOWN, 2.2: UNKNOWN, 2.3: UNKNOWN
----------------------------------------
=begin
 内容はタイトルのままです。
 パッチを添付しますのでよろしくお願いします。
=end


---Files--------------------------------
open-uri_with_http_proxy.patch (2.99 KB)


-- 
https://bugs.ruby-lang.org/