中本です。 この件について、中田さんとの長い間の直メールでのやりとりで、私は今日担 当者からはずされて、プロジェクトリーダーの中田さんが勝手にやることにな りましたので、コミッターのみなさもよろしくお願いいたします。問い合わせ は私ではなく、プロジェクトリーダーの中田さんあてにお願いいたします。
私はセキュリティ対策として当然のこととして取り組んでいたのですが、権限 の抹消はプロジェクトリーダーの判断で行うので、私は口をはさむ余地はない そうです。また、私の行動は間違っていたとのことです。 On Wed, 11 Jul 2007 13:17:34 +0900 Takashi Nakamoto <[メールアドレス保護]> wrote: > 中本です。 > > http://ja.openoffice.org/servlets/ReadMsg?list=discuss&msgNo=15162 > に関連したssh鍵流失に関しまして、セキュリティ関連のことですので、当事 > 者にも公開できない情報などがあるでしょう。不確かな事が多いですが、しか > し、黙って指を加えて待っているだけでは、今後も同様なことが起こるかもし > れません。というわけで、今できる限りの対策をみなさんとしていきたいと思っ > ています。 > > まず、当たり前のことですが、 > ********************************************************************* > パスワードや(sshの)パスフレーズは簡単に推測されないものを設定しましょ > う。 > ********************************************************************* > これは、特にコミッターの方もそうですが、Wikiやその他のOOoのサービスな > どを使っている人も気をつけましょう。 > > それから、もうほとんどja.openoffice.orgのWebサイトにたいしてコミットし > ていない人には、基本的にはssh鍵の登録を抹消してDeveloper権限を返しても > らうようにしてもらうようにしてはどうでしょうか?ここ1年間(2006年7月〜 > 2007年7月)[メールアドレス保護] > - bluedwarf > - catch > - foral > - maho > - tora > の5アカウントによるコミットのログしかありませんでした。 > # 自分の目でざーっと確認しただけなので、漏れがあるかもしれないです。申 > # し訳ないですが、その場合には教えていただきますようよろしくお願いしま > # す。 > > というわけで、とりあえずDeveloper権限をこの5人に限定しませんか。「ここ > 1年間コミットしている人」という基準でなくてもよいのですが、基本的には > 今現在コミットをしていない人には、セキュリティの観点から、Developer権 > 限を返してもらうようにするべきだと思います。 > > この提案に特に問題がなければ近いうちに実行してもらいたいと思います。> > プロジェクトリーダー > > 他にもいろいろ対策が必要かもしれませんが、とりあえず私が考えつくのはこ > んなところでした。他にもなにかあれば提案、あるいは実際に対策していただ > くよう、よろしくお願いします。 > -- > 中本 崇志 (Takashi Nakamoto) > E-mail: > [メールアドレス保護] > Homepage: http://bd.tank.jp/ > Blog: http://bd.tank.jp/diary/ > > --------------------------------------------------------------------- > To unsubscribe, e-mail: > [メールアドレス保護] > For additional commands, e-mail: > [メールアドレス保護] > -- 中本 崇志 (Takashi Nakamoto) E-mail: [メールアドレス保護] Homepage: http://bd.tank.jp/ Blog: http://bd.tank.jp/diary/ --------------------------------------------------------------------- To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
