-
Notifications
You must be signed in to change notification settings - Fork 67
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
ruby 2.6からString#cryptが非推奨 #747
Comments
これ、 前者は、TLSの使用を前提として、まだアリだとは思っています。 |
同意します。ただ後者を改善するとなると、.htpasswdの生成/利用も含めて再考が必要なので、認証方式そのものをいっしょに再検討するのはありかなと。 |
後者についてcryptの代わりにshaを使うのが良いと思います。htpasswdコマンドもSHA1使えます。 前者については、OmniAuthでの外部サービス連携を使うのでダメですかねぇ。 |
Apacheのhtpasswdにおいては、SHA1はinsecure扱いですね。いまはMD5が標準。 で、問題は |
タイトルのとおりなんですが、tDiaryでは
String#crypt
をBasic認証の認証部分(lib/tdiary/rack/auth/basic.rb
)でWEBrickのドキュメントにある例のとおりに使っています。Basic認証そのものがinsecureだから非推奨というスタンスだと思うので、そもそもデフォルトの認証方法から考え直す必要があるかも知れない。すぐに使えなくなるわけではないけど、いちおう俎上に上げておきます。
The text was updated successfully, but these errors were encountered: