Спасибо за возможность ограничения Active URI не только по ip-адресу, но и по паролю - это большой шаг в правильном направлении.
Но, как я понимаю, авторизация по паролю теперь постоянно действующая, не отключается?
И доступна кому угодно - и для root, и для general ?
Не лучше бы сделать для этой цели отдельную "роль" (access level) ?
Потому что светить в сети (т.к. по https active uri не работают ведь?) админский пароль - нехорошо, а юзерский - одинаковый для всех (делать каждому свой уникальный пароль - крайне неудобно).
Между тем, active uri - вещь интимная, всем подряд не должна быть доступная.