コアファイルを利用/信頼してはいけないということ
Date 2006-05-26 04:20:50 | Category: XOOPS
|
あなたがXOOPSモジュールデベロッパーであるなら、XOOPS 2.0.x コアのソースコードを信用してはいけません。 それは本当にプアなコードだからです。(時代遅れ、という表現も不適切です。当時のレベルから見ても十分にプアです)
コアが提供するソースコードはすべて疑うべきです。
- ファイルアップロードラッパ(XoopsMediaUploader)を使った --> あなたのモジュールにもアップロード脆弱性が! ※ これはさすがに修正されましたが
- XoopsObject(Criteria)を使った --> あなたのモジュールにも予期せぬSQL Injectionが!
それらのソースコードを読んで脆弱性について問題がないと判断できても、可能な限り利用を避けるべきです。
- XoopsErrorHandlerを使った --> エラーが必ずechoされてしまう!(ログというまともな方法が利用できない)
- コア提供のチケットクラスを利用した --> あなたのモジュールは他方のコアで動かなくなった!
xhldにおいては、その大原則を忘れていました。xhldはコアに同梱されているSnoopyを利用してRSS/ATOMフィードを取得しているのですが、XOOPS 2.0.14-JP において、ほとんど検証もなく、コアに同梱されているSnoopyのバージョンが改められてしまったのです。そのため、ロリポップやExciteのブログが取得できなくなってしまいました。
これが、コアのファイルを利用する、という意味なのです。
とりあえず、xhldについては、修正したSnoopyを同梱したバージョンをリリースしますが、最終的には脱Snoopyを果たす必要があるでしょう。
|
|