過去のコミット内容のロールバック要求

[takeyamajp]

問題内容

バージョン 2.4.1 から 2.4.2 の間に登録された次の Issue と Pull request が対応誤りだと思われるため、コミット内容のロールバックを求めます。
もしどうしても対応が必要だと考える場合でも、いったんゼロベースに戻してから改めて検討していただきたく思います。

クリッカブルURL機能から実行可能ファイルを直接実行できるのは仕様かどうか #1705
ブラウザでURLを開く機能の改善 #1708

■サクラエディタの機能の誤認について。
まず、Pull request のタイトルと目的に書かれている「ブラウザで URL を開く機能」は、サクラエディタの機能を誤認しています。
サクラエディタでいう「クリッカブルURL」とはヘルプにも書かれている通りのシンプルな機能です。

ヘルプ：クリッカブルURL（リンク先の最上部を参照）
テキスト中のURLをダブルクリックすると、Windowsのシェルを介して関連付けされたアプリケーション（Webブラウザ等）にURLを渡します。

注意していただきたいのは「Webブラウザ等」とは、機能が実行された結果の一例であるという事です。
厳密に「Windowsのシェルを介して関連付けされたアプリケーション」とは、exeやbatなどWindows標準で実行可能なファイル拡張子と、Windowsの以下の設定内容を指しています。

• 設定 -> アプリ -> 既定のアプリ -> ファイルの種類ごとに既定のアプリを選ぶ
• 設定 -> アプリ -> 既定のアプリ -> プロトコルごとに既定のアプリを選ぶ

■クリッカブルURLの仕様について。
現在のサクラエディタは、初回起動時に「テキストのタイプ別設定」に「正規表現キーワード」を2つ初期登録しています。

ヘルプ：タイプ別設定 『正規表現キーワード』プロパティ（リンク先の最下部を参照）
/\b[a-zA-Z]:\[\w-.\/$%~]*/k
/\B\\[\w-.\/$%~]+/k

このいずれかの正規表現にマッチする文字列が「クリッカブルURL」としてサクラエディタ上でリンク表示されます。
そして、それをダブルクリックしたときに前述したWindowsの関連付け設定に従ってリンクを開く仕様になっていました。

もし問題があるとしても、仕様の根幹を変えるのではなく、初期登録する正規表現の修正を検討するべきだったと思います。

問題のカテゴリ

• 仕様の問題
• プログラムの動作上の問題
  • 正式リリース版

環境情報

• サクラエディタバージョン
  2.4.2

[berryzplus]

このPR見てます？

• セキュリティ問題を起こしやすいShellExecute関数を直接呼ばないようにリファクタリングする #1702

#1708 は #1702 の改善と言ってるので、ロールバックするなら #1702 も対象になりそうです。

こういう使い方をしたいから削除された機能を元に戻して欲しい
であれば理解できるかも知れません。

[takeyamajp]

exeを実行する使い方はともかく、最低限ヘルプに書かれているようなシェルを通した使い方はしたいから、削除された機能を元に戻して欲しいです。

それと、CodeFactor は OS command injection の可能性を指摘しているようですが、それはあくまで「Possible = 可能性」であり「実際に攻撃することが難しい」ならツールの指摘は無視することもできます。
個人的に、この機能は利便性と危険性とのバランスの上に成り立っている機能で、本質的にはWindowsのエクスプローラやデスクトップ上に表示されているローカルファイルやショートカットをダブルクリックする事と変わらないと思っています。

[berryzplus]

関連PRをまとめてrevertするか、ドキュメント記載との差異を埋めるか、ドキュメントを直すか。

なんらかの対処が要ると思います。

[beru]

元の動作が良いというユーザー向けに共通設定にチェックボックスの項目を追加するのはどうでしょうか？
デフォルトではチェックが付いていない状態で良いと思います。