まったく気づいていなかったんだけれども、
MovableTypeの設定ファイル、mt.cfgって
ブラウザでアクセスできてしまう場合があるんですね。

MovableTypeで行こう!: Movable Type の脆弱性について(CHEEBOWさん)経由で、
2xUP:mt.cfgをかくさないと!にたどり着いて、
知りました。
しかも、なんとマニュアルにもあるんじゃん。警告文。

mtinstall - Movable Typeのインストール : mt.cfgの保護
Movable Typeをcgi-binディレクトリから実行していない場合は、Movable Typeのインストール先ディレクトリにある.htaccessファイルに以下の数行を加えて、mt.cfgファイルを保護することを推奨します。


ただしここで、書いてある方法がいまいちってのは、上記、
2xUP:mt.cfgをかくさないと!の続きのエントリである、
2xUP:mt.cfgをかくさないと!おかわり!に書いてあって、
(西武ファンなんでしょうかねぇ…?(笑))
確かに、その通りだ、と。

そういうわけで、早速対策しました。
要するに、.htaccessで、アクセス制限を掛けるだけなんですけど。


ちなみに、マニュアルには、
『Movable Typeをcgi-binディレクトリから実行していない場合は』
とありましたが、
僕の環境では、cgi-bin以下でも見れてしまっていましたねぇ。
さくらインターネットの仕様なんでしょうか。

ああ、もちろん、MovableTypeのせいではありませんとも。
各個人が意識しておくべきことですね。
(ユーザこそが最大のリスク、という言葉もあるわけだし / 出典忘れた)