Concrete5でサイトを構築しています。そこで、以下のような運用を考えています。
ある特定ユーザー(仮に読者ユーザとする)向けの配布物にユーザー名とパスワード(ユーザー共通)をのせて配布します。
そのユーザー名とパスワードでログインした場合のみ見ることのできるページをアクセス権によって作成する。
ただし、このページに載せる内容は特に高い秘匿性を要するわけではなく、ある程度閲覧者を制限できれば良いという程度です。極端な話パスワードが漏洩して、不特定多数に見られたとしても大して問題ではないです。
・ログインページを見せることで、冷やかしのログインや、総当たりのアクセスが増える。
結果、仮に編集権限を持つユーザー(admin)のパスワードが弱い場合セキュリティーリスクが高まる。
・設定が煩雑になるため、設定ミスのより読者ユーザに公開してはいけないページを公開してしまう。
といったことが考えられますが、それ以外に根本的なセキュリティー上の問題が発生する可能性はあるでしょうか。
Posted on 9月 22, 2013 at 5:36 午後
|