アカウント名:
パスワード:
「モジュールを提供しあう形態のアプリケーションの危険性」ってところが いまいち理解できないところがあるのだが、モジュールを管理するコアの アプリケーションで外部提供のモジュールの動作についても 設計上制限を加えるべきという話?
いえ、モジュ
いえ、モジュールの安全性まではコアの開発者もコントロールできないという意味です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
危険だなあ (スコア:3, 参考になる)
どうも、外部から指定した不正なインクルードファイルを
実行させるような攻撃だったみたい。
このモジュールはXOOPS本体ではなくて、
外部の人が公開しているものらしいけれども、
(セキュリティ面での)コードの質が悪いなあ。
XOOPSのように多くの人がモジュールを提供しあう
ptosh
Re:危険だなあ (スコア:1, 興味深い)
いまいち理解できないところがあるのだが、モジュールを管理するコアの
アプリケーションで外部提供のモジュールの動作についても
設計上制限を加えるべきという話?
Re:危険だなあ (スコア:1)
いえ、モジュ
ptosh
Re:危険だなあ (スコア:1)
そうでしょうか?
モジュールの作者はどうあれモジュールをインストールしたのはコアのメンバー(開発者ではないかもしれませんが)であるはずです。
これについて安全性を確認は出来たはずです。
#今回とは違い、クローズドな「ソフトのプラグイン」とかについては、客観的に判断するしかないですけど・・。
個人的には、ある程度プロジェクトが大きくなったならセキュリティについて専門的知識をもった人間の監視の目が必要になってくるのかなぁと思いました。
#特に、スキルのまばらな顔もしらない開発者が集まるオープンソースな場合にはなおさら監督するひとは必要な気がする。
他のご意見についてはおおむね賛成でしたがこの部分だけ。
Re:危険だなあ (スコア:1)
> コアのメンバー(開発者ではないかもしれませんが)であるはず
> です。
Xoopsはモジュールに対しては単なるプラットフォームにすぎず、プラグインはコアチームとはまったく無関係に自由に公開することができます。
安全性の確認ができないという点では、OSの開発者がアプリの安全性を確認できないのと同程度でしょう。
Re:危険だなあ (スコア:1)
そら、コアチームとは無関係にインストールできるなぁ・・。
はずかしい・・。
#ぬ、面白そうだとおもってたPBWサイトだ・・。