安全性の保証等はどのようになっているのでしょうか。
どれぐらいの安全性が必要なのでしょうか。
ログインに関する仕様は、あまりきっちりドキュメント化されているとは言い難いです。残念ながらソースを読むしかないです。
実は、SSL は使っていないですし、ログイン確認用のクッキーに ID および、パスワードを2回 md5 したものを記録している、という状況で、実のところ「あまりセキュアでない実装」と思います。使い捨てのセッション ID などを保管しているわけではありません。
正直なところ、WordPress は全般にセキュリティーに関して意識が低いと感じています。このへんは trac に提案しまくって改善させようとは思っていますが。
やはりそうでしたか。
安全性が必要というよりも、
どのくらいのレベルになっているかの確認をしたかったので
今回は助かりました。
他のブログツールはその辺どうなっているかわかりますか。
やはり同じような感じなのでしょうか。
安全性が必要というよりも、
どのくらいのレベルになっているかの確認をしたかったので
今回は助かりました。
標準状態ではあまりセキュアではないのですが、ログイン関連の関数は pluggable.php に書かれているため、プラグイン等でオーバーライドすることができます。つまり、より強固な実装に入れ替えることも可能です。
拙作の Ktai Style では、クッキーが使えないドコモ端末に対応するため、ログイン状態の保持を URL にセッション ID を付与するという実装に変更していますが、これは pluggable.php で get_currentuserinfo()
などをオーバーライドして実現しています。
他のウェブログツールについては、使い勝手について調査したことがありますが、ログイン状態についての実装は調べていません。ほとんどの場合、クッキーを使うか PHP のセッション機能を使っているようです。たいていオープンソースなので、ソースをおっかけてみればいいかと思います。