servers.csv の「公開鍵」欄は無くすべきか? #56
Comments
|
Pros は description に書かれた通りで、僕もその指摘には同意する立場です。一方、あえて Cons 側も挙げておくと、例えば代理申請を拒否する場合、サーバーについて詳しくない人がサーバー申請しづらくなる、という点があります。
また、GitHubのユーザー名から公開鍵を取得しても、本人確認は結局のところできないのではないか、というのが僕の認識です。例えば悪意を持ってGitHubの新規アカウントを作り、代表者の名前を騙って申請された場合、僕ら (Admin権限を持っているチーム) にはそのアカウントが本人なのかどうか確認できないと思うのですが、いかがでしょうか? 🤔 @miya0001 |
あっ、これはデメリットじゃないとも言えるかもですね。笑
まあたしかにそうですが、今よりはマシかなと。あとOrganizationとしてそのユーザーをブロックすることもできます。 |
|
チャンピオンじゃなくてもいいのでちゃんと管理ができる人が申請したほうがいいんじゃないかなと。 管理ができない人がサーバーの申請を誰かに頼む。そのとき公開鍵はだれのものなんでしょうね? |
@miya0001 あれ、僕の認識ではこれが現状の体制だという認識ですが、そこの認識ってもしかして食い違っていますか? 💦
引用元: https://github.com/coderdojo-japan/dojopaas/blob/master/README.md#1-サーバーがほしい方へ |
|
あっ、代理の意味が食い違ってました。 |
|
申請者さんは、CSVに記載された公開鍵の所有者さんじゃないという意味での代理です。 |
|
なるほど! そうすると本 Issue の内容はこんな感じになるわけですね🤔
みたいな認識ですかね! とても納得のいくストーリーな気がします 😆 |
|
もしワークフローで解決するなら、サーバーを管理する人がチャンピオンから委任されたことを宣言した上で申請。 じゃないと実際にサーバーに何かする人をトラッキングできないんじゃないかなーと。 |
ですね。READMEに記載されているとおり、現状ではこのワークフローで解決する方法を採用していて、代理申請の場合は #45 のような形で申請・承認するフローを採っています ✅ |
|
Issue タイトルを具体化してみました。もし認識が間違っていたら適宜修正してもらえると助かります 🙏 |
もう1つ、ほとんど似たような解決策ですが、例えば 具体的には、次の2つのユースケースに対応できるのがこの方法の良いところかなと考えています 💭
(あと細かな点ですが、servers.csvを後で見返したとき、「誰がアクセス権限を持っているか」が一覧できるという点もありそうです) まとめると、不備のあるPRは今後もあると思うので、 |
|
なるほど。アクセス権の一覧という効果は美味しいですね。 |
and others
サーバーを本来の管理者の代理で申請している例が散見されますが、以下の点でちょっと問題がある気がします。
改善案
現状の DojoPaas から公開鍵の列を削除して、プルリクをくれた人のGitHubユーザー名から公開鍵を取得する。
こうすることで、公開鍵に対する本人確認が可能。
The text was updated successfully, but these errors were encountered: