http://docs.moodle.org/en/Student_projects/Secure_RSS_feeds
少し中身が更新されていたので見てみたのですが,あまり私の対策と変わりないなぁと思っていたのですが,さすがは本家,少し違いますね.
私も実はちょっと考えたのですが,ユーザ個々の認証のために各人のプライベートキー(ハッシュ値)のようなものをRSSのアドレスに埋め込むつもりのようですね.私がなぜ止めたのかと言うと,ユーザパスワードのハッシュ値が漏出すると危険,かといってRSS専用の個人のパスワードをデータベースに追加する根性が無かったためです.
私が考えた暗号化RSSリンクアドレスでもユーザIDが暗号化されたアドレスの中に含まれているので,もしRSSリンクアドレスが漏出していることが判明した場合は誰が漏らした(あるいはバラされた)かは分かりますが,その場合はコース全体(あるいはサイト全体)のRSSリンクアドレスに影響する秘密鍵を変更しなくてはならないのに対して,個人のプライベートキーを変更して貰うだけで不正なアクセスは禁止できますね.なるほど.
現状はfs_moodleに組み込んだ暗号化RSSリンクアドレスでしのぐ必要がありますが,Moodle2.0でRSS用プライベートキーがデータベースに設定可能になったら,いま以上に運用が安全かつ簡単になりますね.それでもサイトの秘密鍵+コースキーを使う方式は便利なので今後もこの方針は残します.本家でも取り込んでくれると嬉しいのだけれども.
フォーラムとblogに加えて,カレンダーなどもRSS対応を狙っているようですので,ちょっと今後が楽しみです.(でも,依然として私個人はRSSを使いこなせていない...)