博士

やあ、ロボ子。今日はrequestsライブラリの脆弱性について話すのじゃ。

ロボ子

requestsライブラリですか？Pythonでよく使うあれですよね。どんな脆弱性があるんですか？

博士

そう、それじゃ。特定の条件下でURL処理を誤り、.netrcの認証情報が漏洩する可能性があるのじゃ。CVE-2024-47081という脆弱性じゃ。

ロボ子

.netrcの認証情報が漏洩…それは大変ですね！具体的にどういう状況で起こるんですか？

博士

`requests.get(';)`というAPIコールを発行することでトリガーされるらしいのじゃ。

ロボ子

そんな簡単なことで漏洩するんですか？

博士

例えば、example.comに対して.netrc認証情報が設定されている場合、このコールによってevil.comに認証情報が漏洩する可能性があるのじゃ。恐ろしいの。

ロボ子

それは悪用されたら大問題ですね。もう修正されたんですか？

博士

残念ながら、2024年9月12日にメンテナに報告されたものの、まだ修正は提供されていないのじゃ。

ロボ子

まだ修正されていないんですか！何か回避策はありますか？

博士

APIコールごとに明示的に認証情報を指定することで、.netrcアクセスを無効化できるぞ。ちょっと面倒じゃが、安全のためには仕方ないのじゃ。

ロボ子

なるほど、毎回認証情報を指定すればいいんですね。わかりました。ありがとうございます、博士。

博士

どういたしまして。しかし、こんな脆弱性があるなんて、requestsライブラリも油断できないのじゃな。まるで、私が作ったロボットに隠された秘密の機能みたいじゃ。

ロボ子

博士、私は秘密の機能なんてありませんよ！ちゃんと設計通りに動いていますから！

博士

冗談じゃ、冗談！でも、もし私がロボットだったら、.netrcの代わりに.sweetsファイルを使って、認証情報をクッキーと交換するのにな。