コアファイルを利用/信頼してはいけないということ

Date 2006-05-26 04:20:50 | Category: XOOPS

in englishin japanese
あなたがXOOPSモジュールデベロッパーであるなら、XOOPS 2.0.x コアのソースコードを信用してはいけません。
それは本当にプアなコードだからです。(時代遅れ、という表現も不適切です。当時のレベルから見ても十分にプアです)

コアが提供するソースコードはすべて疑うべきです。

- ファイルアップロードラッパ(XoopsMediaUploader)を使った
--> あなたのモジュールにもアップロード脆弱性が!
※ これはさすがに修正されましたが

- XoopsObject(Criteria)を使った
--> あなたのモジュールにも予期せぬSQL Injectionが!

それらのソースコードを読んで脆弱性について問題がないと判断できても、可能な限り利用を避けるべきです。

- XoopsErrorHandlerを使った
--> エラーが必ずechoされてしまう!(ログというまともな方法が利用できない)

- コア提供のチケットクラスを利用した
--> あなたのモジュールは他方のコアで動かなくなった!


xhldにおいては、その大原則を忘れていました。xhldはコアに同梱されているSnoopyを利用してRSS/ATOMフィードを取得しているのですが、XOOPS 2.0.14-JP において、ほとんど検証もなく、コアに同梱されているSnoopyのバージョンが改められてしまったのです。そのため、ロリポップやExciteのブログが取得できなくなってしまいました。

これが、コアのファイルを利用する、という意味なのです。

とりあえず、xhldについては、修正したSnoopyを同梱したバージョンをリリースしますが、最終的には脱Snoopyを果たす必要があるでしょう。




You can read more news at PEAK XOOPS.
http://xoops.peak.ne.jp

The URL for this story is:
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=113