イベント通知における2つの問題
Date 2006-06-16 05:07:40 | Category: XOOPS
|
ayumiさんの指摘でイベント通知を見直しているのですが、ここに、いくつもの整合性チェック漏れがあって、かなり困った状況になっています。
(1) カーネル側のチェック漏れ admin_only なイベントも、管理者以外が登録できる (単にフォームに表示されていないだけ)
(2) 閲覧権限のチェックをイベント通知に渡し忘れているモジュールが多い user_listの指定無しに一括でtriggerEvent()してしまうと、閲覧権限がチェックされない (こちらは、モジュール側で細かく制御するしかない)
この両者があるおかげで、newbbなどではプライベートフォーラムが意味をなさないものになっています。一般ユーザが投稿文付のイベント通知を登録すれば、プライベートフォーラムの投稿も、本文付で通知されてしまうからです。
これはほぼ「穴」と言える状況でしょう。
とりあえず、xhnewbbでも最低限(2)の面倒をみてやらなければならないとは思いますが、カーネル側のバグ(1)についてはどうしたものか、頭を悩ませています。モジュール内のnotification_update.phpで自前チェックを足す、というのも手ではありますが…
admin_only なイベント通知に重要な意味を持たせているモジュール作者は、再度確認した方が良さそうです。
|
|