プロジェクトWebサーバーのセキュリティ

　SourceForge.JPは、幅広いプロジェクトにホスティングサービスを提供しています。これらのプロジェクトの中には、Webサーバ上に置いたコンテンツを安全に保管する必要性のあるものもありますが、現在利用可能なオプションの数は限られています。この文書では、一般に要求されるオプションについて説明します。

コンテンツの暗号化

　プロジェクトWebサーバーでは、通信を暗号化する手段を提供していません。プロジェクトWebサーバーとユーザーの間で行われる通信は、すべて盗聴される可能性があります。

　もしプロジェクトのサイトでこのようなハイレベルのセキュリティが必要となる場合は、商用のホスティングサービスを利用するべきでしょう。

Webコンテンツに対するアクセス制限

　プロジェクトWebサーバーでは、Webサイト上の特定のページに対するアクセス制限を行うためにApacheのBasic認証を使用できます。Basic認証をプロジェクトのWebコンテンツに設定する場合は、次の手順に従ってください。

1. SourceForge.JPのシェルサーバ（shell.sourceforge.jp）にSSH経由でログイン
2. htpasswdを使用してパスワードファイルを生成
3. /home/groups/projectname/htdocsディレクトリツリー内のBasic認証で保護するディレクトリに.htaccessファイルを作成

　重要な点として、プロジェクトのBasic認証ファイルでは通常のSourceForge.JPのパスワードを使用しないことがあります。必ずアカウントごとに異なる安全なパスワードを使用する必要があり、これも例外ではありません。まず、最初のエントリ（ユーザ）を次のように作ります。

htpasswd -cm /home/groups/projectname/.htpasswd usernamechgrp projectname /home/groups/projectname/.htpasswdchmod o-w /home/groups/projectname/.htpasswd

　以降のエントリ（ユーザ）は、次のように作ります。

htpasswd -m /home/groups/projectname/.htpasswd username

　.htaccessファイルには、次のように記述します。

AuthUserFile /home/groups/projectname/.htpasswdAuthName projectnameAuthType Basic
<Limit GET>
require valid-user
</Limit>

　他にセキュリティについてご不明点、ご要望などありましたら、サポート要求としてSourceForge.JPのスタッフに直接提出してください。

POSTの自動制限

プロジェクトWebに対し、特定のアドレスから一定期間内に多くのPOSTリクエストが行なわれた場合、 そのアドレスを自動的にブロックしています。これにより、一部の Ajax を利用した Web アプリケーションが 不適切にブロックされてしまう可能性があります。

POST を多用するアプリケーションを動かす場合は、ご連絡いただければこの制限を解除いたします。