第七章:安全
基础
我在这里所说的安全并不是指密码或加密。Ruby的安全特性用于在类似于CGI编程的环境下, 处理不可靠的对象。
比如,把一个表示数字的字符串转换为一个整数,你可能使用的是eval方法。 然而,eval是一个“把字符串当作Ruby程序运行”的方法。 如果你eval的字符串来自网络上的不明人物,它可能就非常危险。 然而,对程序员来说,让他们完全负责区分安全和不安全的事物,他们会觉得非常烦琐和累赘, 肯定会犯下一些错误。因此,我们让它成为了语言的一部分。这便是这项特性的起因。
那么,Ruby如何保护我们免受这种危险呢?危险的操作,比如打开意图不明的文件, 其原因大体可分为两种:
- 危险数据
- 危险代码
对于前者,处理这些数据的代码是由程序员本身编写的,因此,它是(相当)安全的。 对于后者,程序代码是绝对不能信任的。
基于上面的两个原因,应该采用不同的解决方案,因此,有必要划分出不同的级别。 这个级别叫做安全级别。Ruby的安全级别由$SAFE这个全局变量表示。 值的范围最小为0,最大为4。当这个变量赋值时,级别就会增加。 因为级别一旦升高,就不会再降低。对于每个级别而言,都会限制一些操作。
我就不解释级别2和3了。级别0是通常的程序环境,安全系统不起作用。 级别1处理危险数据。级别4处理危险代码。 我们略过0,详细解释一下级别1和4。
级别1
这个级别用来处理危险数据,比如,在通常的CGI应用中,等等。
作为级别1实现的基础,每个对象都有“脏标记”。所有外部读来的对象都标记为脏, 脏对象尝试eval或File.open就会引发异常,尝试便就此终止。
脏标记是“可感染的”。比如,从一个脏字符串中取出一部分,这个部分也还是脏的。
级别4
这个级别用来处理危险代码,比如,运行外部(未知)程序,等等。
在级别2中,操作及其用到的数据之间会进行双向检查,但是在级别4中,操作本身也要受到约束。 比如,exit、文件I/O、线程操作、重定义方法等等。当然,在这个过程中,会用到脏标记信息, 但基本上是以操作为基准的。
安全单位
$SAFE看上去像个全局变量,但实际上,它是一个线程局部变量。换句话说, Ruby的安全系统工作在线程单元上。在Java和.NET中,可以授权给每个组件(对象), 但是,Ruby没有那么做。因为估计的主要目标是CGI吧!
如果想提升程序某一部分的安全级别,那它应该创建一个不同的线程,提升线程的安全级别。 我还没有解释如何创建一个线程,但是我们在这里需要的只是一个例子,先忍耐一下:
# 在不同的线程中提升安全级别
p($SAFE) # 缺省值为0
Thread.fork { # 启动一个不同的线程
$SAFE = 4 # 提升安全级别
eval(str) # 运行危险程序
}
p($SAFE) # block之外,安全级别仍为0。
$SAFE的可靠性
即便实现了脏标志的感染,即便限制了操作,最终还是全要由手工处理。 换句话说,内部库和扩展库必需完全兼容,如果不能,“脏”操作中途就不再传染, 安全便会就此终止。实际上,经常有这种漏洞报出。基于这个原因,我也不太信任它。
当然,这并不是说所有的Ruby程序都是危险的。即便是$SAFE=0, 也可能写出安全程序,即便是$SAFE=4,也可能写出为所欲为的程序。 简单说来,你(还)不能对$SAFE抱有过度的信任。
首先,“添加功能”和“安全”并不兼容。添加新特性同打开漏洞是成正比的, 这是一个常识。因此,我们应该假定ruby也可能是危险的。
实现
从这开始,我们进入实现部分,为了从机制上完全地理解ruby安全系统,我们必须要注意“在哪里检查?”。 然而,这次没有页面讨论这个问题,当然,我们也不会仅仅满足于将它们一一列出。 在本章结束前,我们来解释一下安全检查的机制。用于检查的API主要有以下两个。
- rb_secure(n),如果安全级别是n或是更大的时候,抛出异常SecurityError
- SafeStringValue(),如果安全级别是1或更大,而且字符串已感染,抛出异常。
SafeStringValue()就不在这里讨论了。
脏标记
脏标记实际存放在basic->flags中,标志为FL_TAINT, 可以使用宏OBJ_INFECT()完成传染。用法如下:
OBJ_TAINT(obj) /* 给obj附上FL_TAINT标志 */
OBJ_TAINTED(obj) /* 确认obj是否附上了FL_TAINT标志 */
OBJ_INFECT(dest, src) /* 从src到dest传染FL_TAINT标志 */
抛开OBJ_TAINT()、OBJ_TAINTED(),我们这里只看一下OBJ_INFECT()。
▼ OBJ_INFECT
441 #define OBJ_INFECT(x,s) do { \
if (FL_ABLE(x) && FL_ABLE(s)) \
RBASIC(x)->flags |= RBASIC(s)->flags & FL_TAINT; \
} while (0)
(ruby.h)
FL_ABLE()用来确认传入参数VALUE是否为指针。 只有双方都是指针(也就是有flags成员),标志才会传播。
$SAFE
▼ ruby_safe_level
124 int ruby_safe_level = 0;
7401 static void
7402 safe_setter(val)
7403 VALUE val;
7404 {
7405 int level = NUM2INT(val);
7406
7407 if (level < ruby_safe_level) {
7408 rb_raise(rb_eSecurityError, "tried to downgrade safe level from %d to %d",
7409 ruby_safe_level, level);
7410 }
7411 ruby_safe_level = level;
7412 curr_thread->safe = level;
7413 }
(eval.c)
$SAFE的实体是eval.c的ruby_safe_level。如前所述,$SAFE是线程所有的, 所以,需要放在“实现了线程”的eval.c中。也就是说,本来放在别的地方会更好, 因为C语言的关系,只能把它写在eval.c里。
safe_setter()是全局变量$SAFE的setter。也就是说,在Ruby层次上, 只能通过这个函数进行访问,这样,就不可能降低安全级别。
但是,如你所见,ruby_safe_level没有static修饰符,因此,在C层次上, 完全可以无视接口的存在,直接对安全级别进行修改。
rb_secure()
▼ rb_secure()
136 void
137 rb_secure(level)
138 int level;
139 {
140 if (level <= ruby_safe_level) {
141 rb_raise(rb_eSecurityError, "Insecure operation `%s' at level %d",
142 rb_id2name(ruby_frame->last_func), ruby_safe_level);
143 }
144 }
(eval.c)
如果当前的安全级别是level或者更大,就会抛出异常SecurityError。很简单。