アカウント名:
パスワード:
「モジュールを提供しあう形態のアプリケーションの危険性」ってところが いまいち理解できないところがあるのだが、モジュールを管理するコアの アプリケーションで外部提供のモジュールの動作についても 設計上制限を加えるべきという話?
いえ、モジュ
いえ、モジュールの安全性まではコアの開発者もコントロールできないという意味です。
そうでしょうか? モジュールの作者はどうあれモジュールをインストールしたのはコアのメンバー(開発者ではないかもしれませんが)であるはずです。 これについて安全性を確認は出来たはずです。 #今回とは違い、クローズドな「ソフトのプラグイン」とかについては、客観的に判断するしかないですけど・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
危険だなあ (スコア:3, 参考になる)
どうも、外部から指定した不正なインクルードファイルを
実行させるような攻撃だったみたい。
このモジュールはXOOPS本体ではなくて、
外部の人が公開しているものらしいけれども、
(セキュリティ面での)コードの質が悪いなあ。
XOOPSのように多くの人がモジュールを提供しあう
ptosh
Re:危険だなあ (スコア:1, 興味深い)
いまいち理解できないところがあるのだが、モジュールを管理するコアの
アプリケーションで外部提供のモジュールの動作についても
設計上制限を加えるべきという話?
Re:危険だなあ (スコア:1)
いえ、モジュ
ptosh
Re:危険だなあ (スコア:1)
そうでしょうか?
モジュールの作者はどうあれモジュールをインストールしたのはコアのメンバー(開発者ではないかもしれませんが)であるはずです。
これについて安全性を確認は出来たはずです。
#今回とは違い、クローズドな「ソフトのプラグイン」とかについては、客観的に判断するしかないですけど・・
Re:危険だなあ (スコア:1)
> コアのメンバー(開発者ではないかもしれませんが)であるはず
> です。
Xoopsはモジュールに対しては単なるプラットフォームにすぎず、プ
Re:危険だなあ (スコア:1)
そら、コアチームとは無関係にインストールできるなぁ・・。
はずかしい・・。
#ぬ、面白そうだとおもってたPBWサイトだ・・。