2xup.org

mt.cfgをかくさないと!もっかい!またはいろいろ具体的対策をやってみる

2xUP:mt.cfgをかくさないと!おかわり!のつづき

これでとりあえず丸見え状態は防いだとして、その後はmt.cgiのリネーム等様々な方法がすでにたくさん記事になっているのでそちらを参考に必要だと思われる防御をしてみる。何度も言うようだけれどこれはMovable Typeに限ったことではなく、決してMovable Typeからユーザー名とパスワードが漏れるわけではない脆弱性といっていいのかもわからん代物であるということです。

  1. 2xUP:mt.cfgをかくさないと!おかわり!の方法でmt.cfgを丸見え状態を脱
  2. Movable Type Technotes: 盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(1)を参考にAdminCGIPath(mt.cgiとそれが呼ぶであろうファイルの動作するパス)CGIPath(それ以外のパス)とをわけわけ。
  3. mt.cgiのリネーム。ついでにスパム簡単なスパム対策も兼ねてmt-comment.cgiとmt-tb.cgiもリネーム。mt.cgi以外のリネーム自体は個人的なもので脆弱性に対する対策ではないです。lolipopはApacheサーバだからコンテントネゴシエーションを用いて表示されるファイル名の拡張子も無しに

あとはSSLを利用して無敵仕様にしたいところですが、レンタルサーバですし断念。

しかし、この対策自体は今後やっておいたほうが色んな意味で安心なわけですから、MT3.16がリリースされてからでもいいけど、その時スムーズにできるようにやってみた。

mt.cgiのリネーム

リネームするだけでは特別ゴキゲンになるわけではないけれど、安易にソフトウェアにアクセスされないようにはなるわけですからスパム対策にmt-comment.cgiのリネームを行う要領でやっておく。

方法はmt.cfgの中に以下のような行があるので、コメントアウトを外して変更したい名前を設定します。

# AdminScript mt.pl

たとえば、mt.cgiをgokigen.cgiにするならば

AdminScript gokigen.cgi

としてして、mt.cgi自体もgokigen.cgiにしてしまえばオケイ。もし、Apacheサーバでコンテントネゴシエーションを用いることができるのであれば、mt.cfgのさきほど修正した部分を以下のようにしておくとゴキゲン。でもファイル自体はgokigen.cgiのままで、拡張子はとっちゃいけません。

これでリネーム完了です。

ちなみにコンテントネゴシエーションはできるからやったわけで、これが問題の解決の歩みになるとは書いていませんのであしからず。