中本です。 http://ja.openoffice.org/servlets/ReadMsg?list=discuss&msgNo=15162 に関連したssh鍵流失に関しまして、セキュリティ関連のことですので、当事 者にも公開できない情報などがあるでしょう。不確かな事が多いですが、しか し、黙って指を加えて待っているだけでは、今後も同様なことが起こるかもし れません。というわけで、今できる限りの対策をみなさんとしていきたいと思っ ています。
まず、当たり前のことですが、 ********************************************************************* パスワードや(sshの)パスフレーズは簡単に推測されないものを設定しましょ う。 ********************************************************************* これは、特にコミッターの方もそうですが、Wikiやその他のOOoのサービスな どを使っている人も気をつけましょう。 それから、もうほとんどja.openoffice.orgのWebサイトにたいしてコミットし ていない人には、基本的にはssh鍵の登録を抹消してDeveloper権限を返しても らうようにしてもらうようにしてはどうでしょうか?ここ1年間(2006年7月〜 2007年7月)[メールアドレス保護] - bluedwarf - catch - foral - maho - tora の5アカウントによるコミットのログしかありませんでした。 # 自分の目でざーっと確認しただけなので、漏れがあるかもしれないです。申 # し訳ないですが、その場合には教えていただきますようよろしくお願いしま # す。 というわけで、とりあえずDeveloper権限をこの5人に限定しませんか。「ここ 1年間コミットしている人」という基準でなくてもよいのですが、基本的には 今現在コミットをしていない人には、セキュリティの観点から、Developer権 限を返してもらうようにするべきだと思います。 この提案に特に問題がなければ近いうちに実行してもらいたいと思います。> プロジェクトリーダー 他にもいろいろ対策が必要かもしれませんが、とりあえず私が考えつくのはこ んなところでした。他にもなにかあれば提案、あるいは実際に対策していただ くよう、よろしくお願いします。 -- 中本 崇志 (Takashi Nakamoto) E-mail: [メールアドレス保護] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ --------------------------------------------------------------------- To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
