I've just found "notification" has two problems.
(1) 'admin_only' has non-sense (kernel's bug)
(2) view permissions in the module have non-sense
core developper should check (1).
module developper should check (2) again.
At least newbb1 has bug of (2) about "private forum".
Any normal user can read whole of private post using (1) and (2).
XOOPSの権限チェックは、しっかりしてそうに見えて結構いい加減ですよね。
理由は、
1・ページコントローラのために実装はモジュール側で100%必要
2・しかし、コアが与えてくれるgpermはいまいち使いにくい
1は、各モジュールの作者の力量と理解度によるんですが、XOOPS側で簡単に使えるクラスを作っておいてくれないかなぁと。
xoops_grouppermissionはいまいちなんですよね・・・。