« PC不調(4) | メイン | PC不調(5) »

2005年05月13日

MovableTypeにセキュリティーホール

MovableType3.16で対策予定の内容らしい.

詳しくは,http://www.movabletype.jp/archives/2005/05/post_11.htmlをどうぞ.

このサイトでも早速対策を施しました.

対策
http://www.movabletype.jp/technotes/security_0001.htmlで書かれている方法、つまり、mt.cfgにAdminCGIPathを追加して、mt.cgiをSSLでアクセスする方法が一般的。
やってみたが、アクセスそのものはうまくいったのだが、管理画面のスタイルシートが読み出せない(原因不明)で、ものすごく使いづらいのでやめ。

そこで, .htaccess を使って mt.cgi にパスワードをかける方法を採用。
次のように書いた .htaccess ファイルをアスキーでMovableTypeインストールディレクトリ(mt.cgiと同じディレクトリ)に転送する.

<Files mt.cgi>
AuthName "Please enter username and password"
AuthType Basic
require valid-user
AuthUserFile /[パスワードファイルを置くディレクトリ]/.htpasswd
</Files>
(最後の行は改行すること)

.htpasswdファイルは、別なディレクトリ(可能なら、公開用ではないところ)に置く。
つまり、サーバーが /yourID/public_html/ 以下に公開用のファイルを置くことになっていれば、 /yourID/ 以下にパスワードファイル用のディレクトリをつくる。

ついでに,mt.cfgのパーミッションも400に変更しました.

http://tomatobox.no-ip.com/~yukkie/blog/archives/2005/05/post_93.htmlを参照させていただきました。ありがとうございます。
また、.htaccessファイルについては、http://mikeneko.creator.club.ne.jp/~lab/をいつも参照させていただいています。ありがとうございます。

投稿者 suzuki : 2005年05月13日 10:56

▲このページ [ MovableTypeにセキュリティーホール ] の先頭へ
◀前のページに戻る

トラックバック

このエントリーのトラックバックURL:

コメント

 こんちわ。
 ミケネコさんのhtaccess入門はわかりやすいですよネ。駆け出しのころからよく参照させてもらってました。
 またそういったコンテンツを、彼亡き後も存続させていらっしゃる有志の方に、敬意を表してやみません。

投稿者 yukkie : 2005年05月14日 21:31


コメントしてください

記入された内容はそのまま公開されます。公開を希望されない項目は記入しないで下さい。




保存しますか?