先日、Webサーバの更新があって、コンテンツ作成の方と調整したときの話。
コンテンツの移行はコンテンツ作成業者の方でやって貰いますから・・・という話だったので、楽勝!と思っていたのですが・・・。
コンテンツのアップロードについて、物理的に距離が遠いという事でインターネット越しで作業したいという内容だったのですが、こちらからはSSL-VPN経由か、SFTPでお願いしたい。セキュリティの問題もあるので一時的にFirewallの穴を空けてアクセス出来るようにしますのでそれでお願いできませんか?という話に対し、コンテンツ作成業者からの回答はFTPしか使えないのでそれでアップロードしますという・・・。
インターネット越しにFTPとなると、パスワードが平文でインターネット上を流れるので、いくらなんでもそれはマズイのではないですか?と言ったのですが、FTPしか使えないのでそれでお願いしますという感じでした。せめてSFTPは使えませんか?という事もお願いしたのですが、SFTPって何ですか?と言われてしまい・・・一応説明はしたのですが、スキル的に全く無理な感じもあり、時間的な余裕も無い状況だったのでやむを得ずFTPでアップロードするためにFTPサーバをアクセス可能な設定にして、一時的にアクセス可能なアカウントも作って、Firewallの穴を空けて、、、という状態になってしまいました。
何て言うのか、コンテンツ作成を仕事にしているのにインターネットでのアクセスとセキュリティについては何も考慮していないというか、判ってないというか、非常に残念な感じでした。プロの仕事らしくコンテンツは良い出来なんですが・・・。
最低限、認証はSHA-1か、出来ればSHA-256で。暗号化はAES256レベルが常識的だと思っていたので、ある意味とても衝撃的でした。
作業自体は1時間程度で終了したため、その間待ってから、作業完了の連絡を受けて速攻穴をとじて、アカウントを削除して・・・という感じになりました。
それにしても非道い話だよな・・と。
コメント