MyTextSanitizerクラスに、addSlashes()というメソッドがあります。この名前を見た瞬間、どんなものだと想像しますか?
MyTextSanitizer自体、フィルター処理を司るクラスであることから、基本的には addslashes() 関数を呼び出すラッパーメソッドだ、と考えるのが自然でしょう。
しかしそれは誤りです。magic_quotes_gpc=offなら、addslashes()をかけるけど、magic_quotes_gpc=onなら何も処理をしない、というメソッドなのです。つまり、まともに処理された変数をここにかけて、SQL用のリテラルエスケープを完了した、と思っていると、magic_quotes_gpc=on の時にSQL Injectionになってしまいます。(せめて、addSlashesGPC()というメソッド名であったら、stripSlashesGPC()との対応で、そういう仕様だと気がつくこともできたのでしょうが)
これは極めてまずいデザインだといわざるを得ません。magic_quotes_gpc=on時の処理などというものは、GPCリクエスト処理の最初に済ませておくべきものでしょう。宙ぶらりんな変数のまま取り扱わせておいて、どこかでまとめて処理される、なんてのが、オブジェクト指向であり抽象化である、とでも思っていたのでしょうか?
実はXoopsObjectもこのようなデザインです。だからこそ、XoopsObjectは「使うべきではない」と一貫して主張し続けています。なぜ、XoopsCubeにおいて、こんな基本デザインが腐っているものを無理矢理使い続けるのか、理解に苦しみます。(※訂正 XoopsCubeでのXoopsObjectは、同じ名前でありながら、その腐った仕様は何一つ受け継いでいないとのことです)
誤った抽象化は、脆弱性を生み出すだけです。
つまり最初から、コアの仕様についての話です。それがなぜ、「開発メーリングリスト」などという漠然としたものに置き換えられなければならないのでしょうか?
参加を許可したメーリングリストの方を形骸化しておいて、「締め出したというのはどういうことでしょうかね」とは良く言えたものです。
それでは、あらためて削除要請をお願いします。
そしてなにより、本家の該当スレッドにおいて適切なレスポンスをつけていただけますよう、お願い申し上げます。
締め出したというのはどういうことでしょうかね。
コアのMLはコアチーム参加者専用のML、開発メーリングリストは
コアチームおよびその他開発者が参加できるMLなので、コアチーム入り
を拒否されたGIJOEさんがコアチームMLに入らないのは当然だと思う
のですが。。開発メーリングリストはGIJOEさんもまだ参加されている
のではないですか?
コアの仕様変遷は、モジュール開発者にとっても重要な事項です。私はコア
には決して手をだしませんが(もしやるならすべて私一人でやる)、その仕
様について知ることや、何点かの口出しくらいはさせていただきたいと思っ
ています。
というわけで、commit権とは別に、ML購読権をモジュール開発者に開放して
いただけませんでしょうか?
このニュースの掲載後、GIJOEさんより削除要請も何もありませんでしたが、
今からでも削除した方が良いですか?
それにしても「狭い範囲」には笑ってしまいました。
http://xoopscube.jp/modules/news/article.php?storyid=292
において、「開発メーリングリストに参加してもらっています」として私の名前を載せておきながら、コア開発MLから締め出すんですから。そりゃあ、Cubeのコア開発MLは読めないですよね。
ところで、このニュースが翻訳されて本家に載ったということはご存じですか?
というか、最初からそうなることがわかっていたんですよね。私の名前を利用するのが狙いですから。そうじゃなきゃ、単なるメーリングリストの購読者の名前なんて載せないでしょ。
おかげで、私はCube側の人間と認識されてしまいましたよ。本当に迷惑な話です。「onokazuさんに利用された」という怒りは今でも私の中でくすぶってます
そうですよね、GIJOEさんが見える狭い範囲での事実ですから、
チーム内のメンバでもなく、また、当時の開発にも関わって
もいないにも関わらず全ての事実を見通したような考えでの
上ですものね。この辺りは読者にも十分伝わっていると思いますよ。
先にも書いたとおり、他人の功績を奪おうとするような考えは全くありません。
大体そんなことしてどのようなメリットがあるのでしょうか?
また、コアチームの開発者だからといって、いったいどのようなメリットがあるのでしょうか?
コアチームの開発者というのがそんなに魅力的な
ステータスであるのであれば、
GIJOEさんのようにコアチーム入りを拒否
したりはしないのではないですか?
また下記の件はきちんと事実を確認していいただけたのでしょうか。
http://www.peak.ne.jp/xoops/md/news/article.php?storyid=117&com_id=719&com_rootid=714&...
表題と結末がアブストラクションについてだったので、このケースではそれが問題ではないはずだと思いまして。
そのような考えではいませんでした。もしもクレジットを奪ったと考えられていたのであればそれはそれでお詫び申し上げるしかないです。
うーん、チーム内でも意見の対立があるのは当然ではないですか?
また、チーム全体の責任にするつもりもありません。
Quote:jp.xoops.orgのコンテンツの取り扱いに関してはxoopscube coreチーム内MLにて決定した事柄です。- jp.xoops.org への書込は、XOOPSという国際プロジェクトへの貢献なのに、勝手にcube.jpというローカルプロジェクトのコンテンツに流用する
そもそも、JPCERTのは本当は脆弱性じゃないでしょう。
JM2さんやMarijuanaさんによる本当に怖い脆弱性報告は無視し、JPCERTによる「本当はどうでもいい」脆弱性報告だけに対応する。こんな政治的な判断をなされたのは、他でもないonokazuさんでしょう?
そして、JM2さんやMarijuanaさんの脆弱性についても、onokazuという名前で伝わったと、Mithrandirさんから確認しています。
少なくともコアチーム内でELFさんとminahitoさん(どちらも本当に尊敬できる開発者です)は、強硬に反対していたと聞いています。
それを押し切ったのは、他でもないonokazuさんでしょう?
その責任を、コアチーム全体に転嫁するのですか?