SunMonTueWedThuFriSat
May
1
1
0
1
1
1
2
2
0
2
4
2
0
0
3
0
1
2
2
8
3
Jun
2
8
2
1
0
4
2
3
0
3
3
0
1
2
6
3
4
1
6
2
2
4
2
0
4
2
1
1
2
3
6
2
6
0
0
Jul
6
1
1
0
0
1
2
1
2
1
2
1
1
2
1
0
0
0
1
0
0
2
0
0
1
5
2
3
Aug
6
4
0
1
1
1
2
6
3
0
1
0
0
3
3
8
1
1
3
1
1
0
2
1
1
3
0
2
3
3
2
0
4
1
2
Sep
0
1
3
3
1
0
3
0
1
1
0
3
1
0
3
6
14
1
0
0
0
8
2
3
1
0
0
2
Oct
6
1
0
0
1
0
3
0
0
1
0
2
0
1
0
0
0
3
5
0
0
0
0
0
0
2
1
0
Nov
0
1
0
1
0
5
0
1
4
1
0
0
0
0
2
0
1
2
2
0
0
0
0
0
0
2
1
1
1
0
5
3
7
0
2
Dec
4
2
0
2
1
0
0
1
2
1
0
0
0
0
0
0
1
0
3
2
4
1
7
4
1
3
11
2
Jan
3
2
2
9
2
1
11
3
3
3
5
6
3
3
13
6
2
1
1
3
8
4
4
5
1
3
1
5
Feb
5
4
2
2
2
3
0
0
5
2
2
0
0
0
1
0
1
0
2
1
3
0
4
4
3
3
0
3
Mar
4
0
5
1
0
1
1
0
0
1
3
1
1
2
1
1
1
4
0
1
2
1
1
1
0
1
2
0
3
1
3
4
0
2
3
Apr
1
1
0
1
0
4
5
7
3
2
1
2
1
1
2
0
0
1
0
2
2
2
1
3
1
2
0
9
May
4
7
0
0
1
2
1
2
2
2
3
2
0
0
①たとえば既にある「続きを読む」機能のように、JavaScriptを使ってパスワードの入力を求める場合。ユーザの操作はとても簡単ですが、HTMLソースを見ればパスワードも本文もすべてが見えてしまいます。ソースを見る発想のないPC初心者だけを対象にしたり、ソースを見づらいスマートフォンユーザ向けにちょっとだけ隠せれば充分ならこの方法でも良いかもしれませんが、セキュリティという面では「全くない」と言えます。
②次に、リンクやボタンなどをクリックするとパスワード入力画面に移動して、パスワードが正しければ内容を表示するという仕組みの場合。ページ遷移が必要なのでやや面倒ですが、認証はCGI側が実施するのでHTMLソースを見てもパスワードや本文はバレません。この点では多少のセキュリティがあります。しかし、パスワード入力用の画面が必要なので「管理画面にも繋ぎたくない」という要望は満たせないように思います。また、てがろぐCGIの仕様上、投稿内容はすべて共通のデータファイル(標準では tegalog.xml)に含まれます。なので、このデータファイルの中身を覗かれれば、本文は読めてしまいます。(とはいえ、これはデータファイルのファイル名を複雑なものに変更しておけば防げるとは思いますが。)
もしかすると、てがろぐを2つ設置しておいて、片方はBasic認証を設定したディレクトリに置いておく、という方法で充分だったりしないでしょうか? Basic認証ならブラウザの機能でIDとパスワードが問われますので、余計な画面遷移なく入力できます。ただ、記事単位で異なるパスワードを設定するようなことはできませんが。
どのようにパスワードによる認証をお使いになりたいかをもう少し具体的にご説明頂ければ、何らかの検討(もしくは解決策の提示)ができるかも知れません。
畳む