PEAK XOOPS - コアファイルを利用/信頼してはいけないということ in englishin japanese

Archive | RSS |
XOOPS
XOOPS : コアファイルを利用/信頼してはいけないということ
Poster : GIJOE on 2006-05-26 04:20:50 (8248 reads)

in englishin japanese
あなたがXOOPSモジュールデベロッパーであるなら、XOOPS 2.0.x コアのソースコードを信用してはいけません。
それは本当にプアなコードだからです。(時代遅れ、という表現も不適切です。当時のレベルから見ても十分にプアです)

コアが提供するソースコードはすべて疑うべきです。

- ファイルアップロードラッパ(XoopsMediaUploader)を使った
--> あなたのモジュールにもアップロード脆弱性が!
※ これはさすがに修正されましたが

- XoopsObject(Criteria)を使った
--> あなたのモジュールにも予期せぬSQL Injectionが!

それらのソースコードを読んで脆弱性について問題がないと判断できても、可能な限り利用を避けるべきです。

- XoopsErrorHandlerを使った
--> エラーが必ずechoされてしまう!(ログというまともな方法が利用できない)

- コア提供のチケットクラスを利用した
--> あなたのモジュールは他方のコアで動かなくなった!


xhldにおいては、その大原則を忘れていました。xhldはコアに同梱されているSnoopyを利用してRSS/ATOMフィードを取得しているのですが、XOOPS 2.0.14-JP において、ほとんど検証もなく、コアに同梱されているSnoopyのバージョンが改められてしまったのです。そのため、ロリポップやExciteのブログが取得できなくなってしまいました。

これが、コアのファイルを利用する、という意味なのです。

とりあえず、xhldについては、修正したSnoopyを同梱したバージョンをリリースしますが、最終的には脱Snoopyを果たす必要があるでしょう。

0 comments
Printer friendly page Send this story to a friend

Comments list

Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!