Für mich sieht das danach aus, als ob nur Module aus dem Unterverzeichnis "apps" geladen werden können. Wenn da per Konvention nur Module abgelegt werden, die auch öffentlich erreichbar sein sollen, gibt es keine Sicherheitslücke.

Das kannst Du gerne für Dich selbst entscheiden. Fakt ist, daß ein Benutzer die Klassenbindung aufheben kann und die dem URL zugedachte Anwendung mit einer anderen Klasse nicht das macht was sie soll.

Empfehlenswert ist sowas auf gar keinen Fall. Das Sicherheitsloch ist systematisch vorprogrammiert!

MfG