イベント通知における2つの問題

Date 2006-06-16 05:07:40 | Category: XOOPS
in englishin japanese
ayumiさんの指摘でイベント通知を見直しているのですが、ここに、いくつもの整合性チェック漏れがあって、かなり困った状況になっています。

(1) カーネル側のチェック漏れ
admin_only なイベントも、管理者以外が登録できる
(単にフォームに表示されていないだけ)

(2) 閲覧権限のチェックをイベント通知に渡し忘れているモジュールが多い
user_listの指定無しに一括でtriggerEvent()してしまうと、閲覧権限がチェックされない
(こちらは、モジュール側で細かく制御するしかない)


この両者があるおかげで、newbbなどではプライベートフォーラムが意味をなさないものになっています。一般ユーザが投稿文付のイベント通知を登録すれば、プライベートフォーラムの投稿も、本文付で通知されてしまうからです。

これはほぼ「穴」と言える状況でしょう。

とりあえず、xhnewbbでも最低限(2)の面倒をみてやらなければならないとは思いますが、カーネル側のバグ(1)についてはどうしたものか、頭を悩ませています。モジュール内のnotification_update.phpで自前チェックを足す、というのも手ではありますが…

admin_only なイベント通知に重要な意味を持たせているモジュール作者は、再度確認した方が良さそうです。


You can read more news at PEAK XOOPS.
http://xoops.peak.ne.jp

The URL for this story is:
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=124