2xup.org

mt.cfgをかくさないと!おかわり!

2xUP:mt.cfgをかくさないと!のつづき。

近頃の一般的なウェブアプリケーションでは Cookie によるログインのセッション保持というのをやるので、Cookie の値そのものがパスワードと同等の役割を持っています。それゆえ、(アプリケーションの欠陥で)Cookie が漏れるような事態は脆弱性と言えるでしょうが、今回の件は Movable Type に Cookie 漏洩の脆弱性が見つかったわけではないです。

Movable Typeのサイトで出たアナウンスなだけにトラックバックなどで過剰な反応はあるものの、Movable Typeだけの問題ではなく、そしてこの問題はMovable Typeというソフトウェアからクッキーが漏洩するなんていうびっくり脆弱性ではないということがよくわかりますね。

つまるところご自分のmt.cfgがブラウザで開くかどうかをまずチェック。開いてしまうのであれば、方法はいろいろあれどまずは早急にマニュアルを参考にmt.cfgを保護することをおすすめします。

てな感じで、マニュアルに書いてあるような対策をよびかけてみたものの、どうやらそれでは適切な設定では無い模様。つまるとこと<Limit GET>となっているわけで、それだとmt.cfgに対してGETアクションが発生した時には有効だけれどソレ以外の場合はちょっとマズいっちうわけです。そんなわけで、マニュアルにかいてある方法からその問題の<Limit GET>をとっちゃう。

<Files mt.cfg>
  deny from all
</Files>

これでオケイ。

あちこちでBasic認証などをとりいれた方法なども掲載されていてそれは確かに効果があるだろうけれど、httpsにしない限りは認証用のアカウントとパスワードを盗聴されてしまう可能性はあるわけで結果は同じ。

ついつい過剰に反応しすぎてあれやこれやとばたついてしまう前にもう少し落ち着かせながらこういう防御から見直さなければいかんなあと襟を正す思いです。

勉強がてらその他できることをやってみた