カテゴリ | サイト管理・運営 |
サマリ | アカウント登録のリモート登録 |
バージョン | 1.5.1 |
投稿者 | Tomose |
状態 | 質問 |
投稿日 | |
現状ユーザ認証のメカニズムはありますが、そのためのユーザ登録はpukiwiki.ini.php を管理者が編集する必要があります。
その際、管理者が「新規ユーザのパスワード」を知る必要があり、セキュリティ的に好ましくないです(wikiの編集だけならそれでもいいでしょうが、パスワード作成の癖の流出などリスクがある)。改善方法はないでしょうか。
# とはいえ管理者に許可なくユーザ登録するのも不適切っぽいので、
# 例えば管理者による「許可」をうけるために、管理者に確認メールを入れるなどの手間は必要そうですが。
- パスワードを平文(ありのまま、書いたままの文)でしか設定できないと誤解されているのですね。12年前の1.4.6からパスワードハッシュを使用できるようになっています。
(厳密にはSSL上の)*1PukiWiki上のmd5プラグインや、Linuxのslappasswdコマンドで、各自に「ソルト(各自が決める、でたらめな文字列)つき」と「パスワード」を元にしたSSHAのパスワードハッシュを計算してもらった上で、パスワードハッシュを受け渡すようにすることで、常識的なレベルでは改善するでしょう。(非常識なレベルでは、これでも不足ではあります)(詳しくは dev:BugTrack/709) -- henoheno
- ・・・少なくとも $auth_users については $adminpass と同様ですね。 -- henoheno
- ・・・ slappasswd では salt は自動的に毎回異なる内容が与えられ、手動で指定できないようですね。 -- henoheno
- 認証設定については PukiWiki/Authentication に説明があります。henohenoさんの書かれているようにmd5などを使って平文パスワードを隠蔽することもできますし、そもそも認証情報をPukiWikiの外部に持つこともできます。(LDAP利用やAUTH_TYPE_EXTERNAL_REMOTE_USERなど) 更にPukiWiki 1.5.2 だと AUTH_TYPE_SAML で外部のSingleSignOnサーバーと連携することもできるようになります。dev:BugTrack/2411 AUTH_TYPE_EXTERNAL で twitter認証する話を質問箱/5262に書いていたりします -- umorigu
- 回答ありがとうございます。ちょっとニュアンスが違いまして。Pukiwikiの認証を使う場合にMD5化する方法は理解していますが、ではその「MD5化する」のは誰か、ということです。詳しくない方にはお願いできません(PCを使い慣れている方ばかりというわけではない。ということです)。 -- Tomose
- 外部認証についてもまあ同様で、twitterアカウントを誰もが持っているわけでもないです。SingleSignOnは考えてなかったのでちょっと相談してみますが、これもどうだろうなぁ・・・同窓会的なメンバーで使おうと思っているので、個々人のレベルはいろいろ違うのです。 -- Tomose
- ああ。読み直してちょっと思い当たりました。例えば登録ページ作って、そこで入力させたものをMD5プラグインで加工したものを出力するようなページなりプラグインなり作ればいいのか・・・ちょっと考えてみます。ありがとうございました。 -- Tomose
- もう一つ余談ですが、MD5ってのも今時どうよ、とは思いました。pukiwiki.ini を直接参照されることは普通ないにせよ。sha2プラグインでも作りますかね(笑) -- Tomose