MovableTypeの設定ファイル、mt.cfgって
ブラウザでアクセスできてしまう場合があるんですね。
MovableTypeで行こう!: Movable Type の脆弱性について(CHEEBOWさん)経由で、
2xUP:mt.cfgをかくさないと!にたどり着いて、
知りました。
しかも、なんとマニュアルにもあるんじゃん。警告文。
mtinstall – Movable Typeのインストール : mt.cfgの保護Movable Typeをcgi-binディレクトリから実行していない場合は、Movable Typeのインストール先ディレクトリにある.htaccessファイルに以下の数行を加えて、mt.cfgファイルを保護することを推奨します。
ただしここで、書いてある方法がいまいちってのは、上記、
2xUP:mt.cfgをかくさないと!の続きのエントリである、
2xUP:mt.cfgをかくさないと!おかわり!に書いてあって、
(西武ファンなんでしょうかねぇ…?(笑))
確かに、その通りだ、と。
そういうわけで、早速対策しました。
要するに、.htaccessで、アクセス制限を掛けるだけなんですけど。
ちなみに、マニュアルには、
『Movable Typeをcgi-binディレクトリから実行していない場合は』
とありましたが、
僕の環境では、cgi-bin以下でも見れてしまっていましたねぇ。
さくらインターネットの仕様なんでしょうか。
ああ、もちろん、MovableTypeのせいではありませんとも。
各個人が意識しておくべきことですね。
(ユーザこそが最大のリスク、という言葉もあるわけだし / 出典忘れた)