Linux JM　(Japanese Man-page) Project

Fork

• LDP_man-pages
• coreutils
• iptables
• jm

[JM:03719] Re: OSDNサーバーのBASIC認証の利用について

• 前の記事 (スレッド) [JM:03718] OSDNサーバーのBASIC認証の利用について
• 次の記事 (スレッド) [JM:03722] Re: OSDNサーバーのBASIC認証の利用について
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

元木です。

認証に用いるアカウントとパスワードは共通で、別の手段で公開されるのでしょうか？
例えば、ウェブページに記載するなど。そうであれば、公知の情報なので、HTTP を用いて漏れたとしても問題はないはずです。
秘伝のタレのように別の場所で共有されるならば、パスワード認証の credential の安全性を考える必要があると思いますが。

一方で、そもそも Basic 認証であっても認証が必要な理由は何でしょうか？
別にレビュー中のものであっても、一般に見えてしまってよいと思っています。
クローズにする必要性がよく分かりませんでした。

Google の検索に関わらないようにするだけであれば、
sitemap.xml の生成ロジックを修正すればいいだけだと思います。
(admin/site/gen_sitemap.rb)




On Mon, May 23, 2022 at 9:26 PM matsuand <michi****@gmail*****> wrote:
>
> matsuand です。
>
> いろいろと本プロジェクトのあり方を考えている中で、
> 実際に私が描く形を模索しています。そして実際に
> http://linuxjm.osdn.jp/develop/manual/index.html
> といったページも作り、検討を進めています。
>
> それにつながる話として、当プロジェクトのApacheサーバー
> 上において、Basic認証を用いたメンバー限定ページを
> 作ることを検討しています。これについてお伺いします。
>
> 以下に状況説明をしつつ、各位のご意見を伺いたいと
> 思います。どう思われますか？ お話をお聞かせください。
>
> ・OSDN サイト、つまりは本プロジェクトのホームページ
> 　等は Apache により提供されています。digest 認証は
> 　認められていませんが、basic認証は利用が認められて
> 　います。
> ・basic認証を使って、本プロジェクトのOSDNメンバー
> 　のみが操作するページを作ることを考えています。
> ・それはたとえば、上記のURL、
> http://linuxjm.osdn.jp/develop/manual/index.html
> 　の情報は、私がまだ公開していないスクリプトを、
> 　私のローカルから ssh ログインにより実行をかけて
> 　生成しています。これをメンバー限定操作ページから
> 　ワンクリックで生成するような構想で考えています。
> ・それ以外にも、配布tarballを作るスクリプトをキックする
> 　とか、cgi と兼用すれば、何かとできることが増えてくる
> 　と思います。
> ・basic 認証はご承知かもしれませんが、これ自体は
> 　暗号化されていませんから、セキュアではありません。
> 　実際に暗号化されない http:// で通信すると、
> 　パケット内にパスワードがだだ漏れとなります。
> 　一方で https:// で通信すれば、通信自体が暗号化
> 　されるので、安心のはずです。
> ・実際に現在、試しごととして以下のURLを用意しています。
>
> 　https://linuxjm.osdn.jp/members/
>
> ・注意して頂きたいのは、"s" を取り除いたURL
> 　http://linuxjm.osdn.jp/members/
> 　でもアクセスでき、その場合はパスワードは漏れます。
> ・現在、仮のユーザー/パスワードを用意しており、
> 　上記の https URL にアクセス後は、
> 　ユーザー guest でログインできます。パスワードは同じです。
> ・今後、運用開始するとしたら、各メンバーは一度
> 　ssh ログインによりサーバーへログインしていただき、
> 　htpasswd コマンドを叩いて、ご自身でユーザー名、
> 　パスワードを定めていただく形です。
> 　事情をご存じの方でしたら、今すぐにでも登録できます。
> 　パスワードファイルはサーバートップディレクトリにある
> 　/home/groups/l/li/linuxjm/.htpasswd です。
> 　パスワードは(たしか) MD5 を用いているので中身は
> 　本人以外わかりません。そもそもこのファイルにアクセス
> 　できるのが OSDN ユーザーでしかありえないですので、
> 　ここまではセキュリティは確保されているはずです。
>
> さてさていかがでしょうか。
> 私がお伺いしたいのは、上で示した https + Basic 認証が
> セキュアかどうか、これを用いることに問題はないか、
> といったことを各位にお伺いしたいのです。
> _______________________________________________
> linuxjm-discuss mailing list
> linux****@lists*****
> https://lists.osdn.me/mailman/listinfo/linuxjm-discuss

• 前の記事 (スレッド) [JM:03718] OSDNサーバーのBASIC認証の利用について
• 次の記事 (スレッド) [JM:03722] Re: OSDNサーバーのBASIC認証の利用について
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]