プロフィール
MovableTypeにセキュリティーホール
MovableType3.16で対策予定の内容らしい.
詳しくは,http://www.movabletype.jp/archives/2005/05/post_11.htmlをどうぞ.
このサイトでも早速対策を施しました.
対策
http://www.movabletype.jp/technotes/security_0001.htmlで書かれている方法、つまり、mt.cfgにAdminCGIPathを追加して、mt.cgiをSSLでアクセスする方法が一般的。
やってみたが、アクセスそのものはうまくいったのだが、管理画面のスタイルシートが読み出せない(原因不明)で、ものすごく使いづらいのでやめ。
そこで, .htaccess を使って mt.cgi にパスワードをかける方法を採用。
次のように書いた .htaccess ファイルをアスキーでMovableTypeインストールディレクトリ(mt.cgiと同じディレクトリ)に転送する.
<Files mt.cgi>
AuthName "Please enter username and password"
AuthType Basic
require valid-user
AuthUserFile /[パスワードファイルを置くディレクトリ]/.htpasswd
</Files>
(最後の行は改行すること)
.htpasswdファイルは、別なディレクトリ(可能なら、公開用ではないところ)に置く。
つまり、サーバーが /yourID/public_html/ 以下に公開用のファイルを置くことになっていれば、 /yourID/ 以下にパスワードファイル用のディレクトリをつくる。
ついでに,mt.cfgのパーミッションも400に変更しました.
http://tomatobox.no-ip.com/~yukkie/blog/archives/2005/05/post_93.htmlを参照させていただきました。ありがとうございます。
また、.htaccessファイルについては、http://mikeneko.creator.club.ne.jp/~lab/をいつも参照させていただいています。ありがとうございます。
投稿者 suzuki : 2005年05月13日 10:56
トラックバック
このエントリーのトラックバックURL:
コメント
こんちわ。
ミケネコさんのhtaccess入門はわかりやすいですよネ。駆け出しのころからよく参照させてもらってました。
またそういったコンテンツを、彼亡き後も存続させていらっしゃる有志の方に、敬意を表してやみません。
投稿者 yukkie : 2005年05月14日 21:31