matsuand です。 いろいろと本プロジェクトのあり方を考えている中で、 実際に私が描く形を模索しています。そして実際に http://linuxjm.osdn.jp/develop/manual/index.html といったページも作り、検討を進めています。 それにつながる話として、当プロジェクトのApacheサーバー 上において、Basic認証を用いたメンバー限定ページを 作ることを検討しています。これについてお伺いします。 以下に状況説明をしつつ、各位のご意見を伺いたいと 思います。どう思われますか? お話をお聞かせください。 ・OSDN サイト、つまりは本プロジェクトのホームページ 等は Apache により提供されています。digest 認証は 認められていませんが、basic認証は利用が認められて います。 ・basic認証を使って、本プロジェクトのOSDNメンバー のみが操作するページを作ることを考えています。 ・それはたとえば、上記のURL、 http://linuxjm.osdn.jp/develop/manual/index.html の情報は、私がまだ公開していないスクリプトを、 私のローカルから ssh ログインにより実行をかけて 生成しています。これをメンバー限定操作ページから ワンクリックで生成するような構想で考えています。 ・それ以外にも、配布tarballを作るスクリプトをキックする とか、cgi と兼用すれば、何かとできることが増えてくる と思います。 ・basic 認証はご承知かもしれませんが、これ自体は 暗号化されていませんから、セキュアではありません。 実際に暗号化されない http:// で通信すると、 パケット内にパスワードがだだ漏れとなります。 一方で https:// で通信すれば、通信自体が暗号化 されるので、安心のはずです。 ・実際に現在、試しごととして以下のURLを用意しています。 https://linuxjm.osdn.jp/members/ ・注意して頂きたいのは、"s" を取り除いたURL http://linuxjm.osdn.jp/members/ でもアクセスでき、その場合はパスワードは漏れます。 ・現在、仮のユーザー/パスワードを用意しており、 上記の https URL にアクセス後は、 ユーザー guest でログインできます。パスワードは同じです。 ・今後、運用開始するとしたら、各メンバーは一度 ssh ログインによりサーバーへログインしていただき、 htpasswd コマンドを叩いて、ご自身でユーザー名、 パスワードを定めていただく形です。 事情をご存じの方でしたら、今すぐにでも登録できます。 パスワードファイルはサーバートップディレクトリにある /home/groups/l/li/linuxjm/.htpasswd です。 パスワードは(たしか) MD5 を用いているので中身は 本人以外わかりません。そもそもこのファイルにアクセス できるのが OSDN ユーザーでしかありえないですので、 ここまではセキュリティは確保されているはずです。 さてさていかがでしょうか。 私がお伺いしたいのは、上で示した https + Basic 認証が セキュアかどうか、これを用いることに問題はないか、 といったことを各位にお伺いしたいのです。
Fork