ナビゲーターのEVEです。
本日は、開発状況の報告です。中小企業診断士の事例問題は、経験曲線効果のおかげで、当初の予定どうりに、週3日で書けるようになりました。しかし、プログラム開発が軌道に乗るには、もうちょっと時間がかかりそうです。
[セキュリティ]
つい最近まで問題となっていたのは、セキュリティ・・・。Prototype EVEでは、プログラムと画面のボタンにセキュリティを設定していたのですが、今回のEVEシステムでは、それに加えて、システムそしてプログラムグループにもセキュリティを設定しています。これにより、突発的にセキュリティレベルを上げたくなった場合、システムまたは、プログラムグループの権限を上げれば、問題への対応ができるようになりました。
このコンセプトは開発当初からあったのですが、実装する段階で破綻しました。考えが甘かったのです。まっ、考えが甘いといっても、そのあとすぐにそれを実現するアイディアが出てくればいいのですが、今回は悩みました。すでに、出来上がった部分があるため、そちらと整合性を取らなければなりません。作っては、修正しという作業を繰り返し、1週間以上かかって、やっと、つい最近仕様が決定し、現在その部分は落ち着きました。
[パスワードのセキュリティ]
パスワードのセキュリティについて、以前のブログで、クライアントのパスワードのセキュリティにハッシュ関数を利用しようかどうか悩んでいるという話をしましたが、結局やめました。理由は、ハッシュ関数の対応状況がブラウザにより違うと言うことと、最新のハッシュ関数が利用できないという理由からです。そのため、旧システム、Prototype EVEと同様のセキュリティを採用しています。
それは、クライアント側で入力したパスワードを、ブラウザ上でシステム独自の変換方式に基づき暗号化します。そして、暗号化したパスワードをサーバー側で復号し、データーベースに格納されているパスワードと比較し、ログイン者を確かめると言ったモノです。暗号化パターンは、理論的には、1パターンから∞まで設定することが可能です。理論的というのは、∞という部分がサーバースペックに依存するためです。しかも、今回は、ssl/tlsを採用しているため、ほぼ通信の途中で、パスワードが流出するということはないと思われます。ただ、キーロガーといった攻撃については、未対応です。現時点対応検討中でペンディング事項扱いです。
Prototype EVEと違う点は、Prototype EVEでは、入力したテキストボックスで変換していましたが、今回のEVEシステムでは、hidden項目を利用しています。はじめて利用する人を、驚かせないという配慮からです。パスワードを10文字しか入力していないのに、暗号化したためにいきなり文字数が増えたという状況を見たら驚くような気がしたからです。
この部分も製造が終わり、現在は、ログインユーザーをより厳格に識別するために、認証システムというものを用意しているのですが、そちらの製造に入っています。
[あとがき]
本日はここまでとし、続きは明日書きましょう。仕様の部分を除けば、今までは、HTML、オブジェクト指向のJavaScriptの製造に時間が取られていたのですが、HTML画面は、βシステムで正式版を公開するという仕切りを設けたことと、オブジェクト指向のJavaScriptはそろそろ慣れてきたと言うことで、今後は中小企業診断士事例問題同様に、スケジュール通りに製造できるような気がするのですが、それも5月以降になりそうです。ただ、12月までのスケジュールは厳守したいと現時点は考えています。
なお、以前のスケジュールですが、ユーザー管理システムが抜けていました。再度スケジュールを再作成しお知らせします。
では、また!
コメント
コメントを投稿