Pega Weblog


Movable Type、自転車、気になったニュース等をアトランダムに書いています。

      2006年 2月 18日(土)   先負  今日は何の日?

Home Movable Type ≫ MT4iを2.1β2にVerUp!!

MT4iを2.1β2にVerUp!!

モバイルMTであるMT4i2.0に重大なバグが発見されました

MT4i/ベータ公開/2.1β - t2o2-Wiki
MT4iは管理者モードにおいて、暗号化したパスワードをURL引数にてやり取りしています。この為、管理者モードにて記事等閲覧中、外部へのリンクをクリックして遷移するとリファラとして管理者モードのURLが遷移先へ知らされることになってしまいます。遷移先がリファラを公開などしていた場合、不特定多数の者に貴方の管理者用URLが知られてしまう事になります。また、運悪く検索エンジンのロボットの巡回先に含まれてしまうと、ロボットが巡回する度にエントリやコメントやトラックバックが消えていくという現象も発生します(実際に報告あり)。管理用URLの漏洩についてはこの2.1βでも防ぐことができません(ユーザ個々に気を付けて頂く以外ありません)が、ロボット巡回によるエントリ・コメント・トラックバックの削除は防ぐことができます。
当サイトはまさに2.0を使っていましたので最新版の2.1β2にUpdateしました。
こちらからmt4i21b2.zip(36.8KB) またはmt4i21b2.lzh(40.0KB)をDLします。私は、2.0を使っていたので、「MT4i 2.xのインストール 」の「2.0β1~5からのアップグレード」を参照しました。以下、覚書を兼ねたその方法です。
MT4i/2.0/インストール - t2o2-Wiki
1.ファイル「mt4i.cgi」「mt4imgr.cgi」をサーバーにアップロード(前バージョンを上書き)。
ディレクトリ「mt4ilib_old」の中の「Config.pl」を、サーバーのディレクトリ(フォルダ)「mt4ilib」の中にアップロード(前バージョンを上書き)。
2.Webブラウザより「mt4imgr.cgi」にアクセス。
3.パスワードを入力してログインし、各種設定値を見直して「保存」ボタン押下。
4.ディレクトリ(フォルダ)「mt4ilib」をサーバーにアップロード(上でアップロードしたファイルをを上書き)。
5.Webブラウザより「mt4i.cgi」にアクセスして動作確認。
当初私は、mt4i.cgiにアクセスしたら500エラーが発生しました。その原因は、
(1)「MyName - MT4i本体のファイル名」をindex.cgiに変え、元々のmt4i.cgiを削除していたにも関わらず、mt4i.cgiをUploadし、何も考えず、mt4i.cgiにアクセスしたから。→mt4i.cgiのパ-ミションを755または700に変えた。
(2)4.のアップロードの際、Func.plのアップロードを忘れていた。→Config.plとFunc.plの2つのファイルを鯖のmt4ilib・フォルダにUploadした。
以上の対策で500エラーは回避されました。
なお、2.1βにUpdateしても、
talk to oneself 2: MT4iの管理者モードが持つセキュリティ上の問題点について/2.1β1 公開開始
ただし、2.1β1にバージョンアップしたからといって、セキュリティが万全になるという事ではありません。ロボットによる巡回でエントリが消える事はなくなりますが、管理者モードにて不用意にリンクをクリックすれば遷移先に管理者用URLが知られてしまう可能性があります。セキュリティを万全にする為には管理者モードの考え方を根本的に変える(管理者用の機能は全く別物として切り出すとか)必要があり、そう簡単に対応する事が出来ません。申し訳ございませんが、その辺りは使用される皆様に気をつけていただくしかありません。
とか。運用には自己責任で気をつけましょう!!また、パスワードは変更すべしとのことです。
talk to oneself 2: MT4iの管理者モードが持つセキュリティ上の問題点について/2.1β1 公開開始
と同時に、パスワードの変更を強く推奨します(既にロボットに補足されている可能性がある為)。



Posted by pega at 2006年02月18日 20:36     
Hatena Bookmark: MT4iを2.1β2にVerUp!! | del.icio.us: MT4iを2.1β2にVerUp!! | MM/Memo: MT4iを2.1β2にVerUp!! | web拍手ボタン | ⇒English | ⇒大阪弁 | Clip!!
コメント酢鶏巡回中 酢鶏」は人工無能によるコメント投稿を行います。
コメントする。なお、名前に@nekoを付けるとネコ語になるにゃ
サイン・イン 後、「サイン・インを確認しました」の表示が出ない場合は、お手数ですが、ブラウザの更新ボタンを押してください。
Pega Weblog では不適切なコメントを防止するため、コメントを掲載する前に管理者がコメントの内容を確認しています。コメントを初めて投稿する場合すぐに掲載されませんが、管理者が適切なコメントと判断した場合コメントは直ちに表示されますので、再度コメントを投稿する必要はありません。
また、コメント投稿時、サーバーの調子により500エラーが出る場合がありますが、当ブログへの反映には時間は掛かりますが、きちんとコメント投稿は出来ていますので、ご安心ください。




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます。)
コメント編集ボタン: (?)Help

-- ボタンの説明 --
size : フォントサイズ変更「*」この部分を1~7のお好きな数字に変えてください。数字が大きいほど文字も大きくなります。
color : *** のところに 色名を入れてください。
C : タグではさんだ文字列を センタリング(中央寄せ)します。
B : 文字を太字にします。
I : 文字を斜体にします。
U : 文字に下線を引きます。
S : 文字に打消線を引きます。
" : " と " で はさむようになります。
& : &マークを 挿入します。
nbsp : 半角スペースが入ります。
nobr : タグではさんだ文字列には 改行が入らず、一行で表示されます。
link : リンクを貼れますがスパム対策の為使わないでください…
img : 画像を貼ります。画像のurlと代替テキストを入れてください。
UL : 順序性のないリストを表示するときに使います。type属性を付けることができます。
OL : 順序性のあるリストを表示するときに使います。type属性を付けることができます。
LI : リストの項目になります。 <ul></ul> や <ol></ol> の中で使います。
P : はさんだ文字列が ひとつの段落になります。</p> の次が 一行分 空きます。
b-quote : 文章を引用します。
pre : ソース中のスペース、改行等を 等幅フォントでそのまま表示します。
Close Tags : コメント内のタグを全て閉じます。
Dict : このボタンは、タグ関係ありません。投稿画面で、調べたい文字を選択しておいて このボタンを押すとDictionary.com の 検索結果画面に つながります。ただし、日本語には対応してません。けることができます。

▼絵文字を表示▼

テキストエリアのサイズと文字サイズは右下のアイコンで変えることができます。

ご利用のブラウザ、設定ではご利用になれません。


手動で送信されたコメントであることを示すために、上のボックスに表示されている通りに数字を入力してください。

「MT4iを2.1β2にVerUp!!」 へのトラックバック
Pega Weblogのトラックバックポリシー
このエントリーへのトラックバックURL :

このエントリーのリンクタグ :
Pega Weblogからトラックバックした先のURL
以下のリストはこの「MT4iを2.1β2にVerUp!!」を参照しています(1)。

» MT3.3対応!MT4i 2.1β公開 from blog*note
携帯ブログ運営者には必須のツール、MT4iがMT3.3に暫定対応したベータ版MT... [続きを読む]

トラックバック時刻: 2006年06月14日 01:39

関連している(かもしれない)書籍
関連している(かもしれない)記事
関連IT用語 by e-Words

Copyright ©2004-2006 pega All Rights reserved.