confファイルがない場合や設定ファイルに「rpcpassword」が含まれていない場合に認証をデフォルトで無効にすべきではないと思うが、「rpcpassword=」を含む場合はどうだろうか?
両方の意見がわかる。
プログラマーが使用する言語(Fortranなど)でHTTP認証のやり方がわからない場合や、JSON-RPCライブラリでサポートされていない場合はどうだろうか?パスワード要件を明示的に無効にできるようにすべきだろうか?
一方で、テンプレートのconfファイルがあって、 rpcpassword= # ここにパスワードを入力 と書いてある場合はどうだろうか?
パスワードなしではログインできないシステムは多くある。例えばこのフォーラムがそうだ。Gavinの意見の方が説得力がありそうだ。
ところで、テストはしていないが、confファイルにrpcpassword=があっても有効であることを願う。-serverや-daemonやbitcoindを使う場合のみ警告付きで失敗すべきだ。パスワードが不要な場合は問題ないはずだ。合っているか?