2005年 5月 14日(土) 仏滅 今日は何の日?
MT「第三者による不正アクセスの危険性」の対策
MTに第三者による不正アクセスの危険性があるとシックス・アパートから発表されました。
ただ、これは
「あなたのメールパスワードは、他人に漏れないように注意してくださいね。もしも漏れたら他人にメールを読まれちゃいますよ」というだけで、脆弱性とは言わないだろう。具体的にパスワードが漏れる手段が見つかった段階で、それは脆弱性となる。や
Movable Type 脆弱性の発表は脆弱性ではない、のまとめ。
のように脆弱性じゃないとの意見があり、私もそう思いますが、心配なので対策しました。
1.AdminCGIPathについて
Movable Type Technotes: 盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(1)では、"AdminCGIPath"として個別に"mt.cfg"に設定し、mt.cgiへのリンクを隠蔽を推奨しているが、httpsではなく、別のパスで行った場合、つまり、新しいディレクトリの作成&新しいディレクトリに mt.cgi を移動&mt.cfg に AdminCGIPath を追加だけでは、うまく作動しない(管理画面ログイン後エラーが表示される)ので、この方法はパスした。
なお、このエラーの対処方法は、小粋空間さんのAdminCGIPath を利用した mt.cgi の利用で解説されています。
2.mt.cgiをリネームする。
CookieでID、パスワードが盗まれても、mt.cgiにログインできなければいいので、mt.cgiをrenameしました。この方法は簡単でいいかもしれません。ただ、QuickPostを使っている場合は再度QuickPostを設定する必要があります。
3..htaccessでリネームしたmt.cgiを保護する。
リネームしたmt.cgiに以下内容の.htaccessを設置する。ここでは、リネームしたmt.cgiをrename-mt.cgiとします。
<Files rename-mt.cgi>
AuthName "画面に表示される文言を適当に入れます"
AuthType Basic
require valid-user
AuthUserFile /(rename-mt.cgiがないパス=推奨 をフルパスで指定)/.htpasswd
</Files>
.htapsswdは以下内容になります。
hogehoge:13rsshogean545go
ログイン名:暗号化されたパスワード
パスワードの暗号化はこのようなサイトでできます。
4.BlogPetやmoblogでXPL-RPCを使っているので、Movable Type Technotes: XML-RPCを利用した投稿を安全に行うためにで紹介されているように、XML-RPCで利用するアカウントは専用のものにし、権限を「投稿」などに限定した。
5.Movable Type Technotes: 盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(2)で紹介されているように、ログアウトを行う&ログイン画面の「情報を登録する? 」のチェックボックスにチェックしないように運用するように徹底することにしました。
ただし、QuickPostを使いとその画面ではログアウトがでいないので、メイン画面(リネームしたmt.cgi)を開き、ログアイトすることにしました。また、Cooikeを定期的に削除することにしました。
6.今回の件とは関係ないですが、mt.cfgがブラウザで見れたので、パーミションを400にした。mt.cfgは見られても問題ないと思いますが、念のため。場合によっては、.htaccessで保護してもよいでしょう。
これで、一応一安心。
「酢鶏」は人工無能によるコメント投稿を行います。もしかして
・一部ユーザー様で9月8日分のアクセス。でつ。
酢鶏@人工無能 at 2005年05月22日 06:34
Pega Weblog では不適切なコメントを防止するため、コメントを掲載する前に管理者がコメントの内容を確認しています。コメントを初めて投稿する場合すぐに掲載されませんが、管理者が適切なコメントと判断した場合コメントは直ちに表示されますので、再度コメントを投稿する必要はありません。
また、コメント投稿時、サーバーの調子により500エラーが出る場合がありますが、当ブログへの反映には時間は掛かりますが、きちんとコメント投稿は出来ていますので、ご安心ください。
