一体どうなんでしょう

mt.cfg丸見え！

このblog（MovableType)を設置してもう半年になるんですが
知らなかったンです。
まさかデフォルト状態だとmt.cfgが丸見えになってるなんて！

情報源はコチラ。

こちらには.htaccessにてmt.cfgを保護する方法が書かれている。
mt.cfgと同じディレクトリに

<Files mt.cfg>
<Limit GET>　←この行不要
deny from all
</Limit>　←この行不要
</Files>

と記述した.htaccessを置く。
これで、GET要求による（通常ブラウザはGET要求で情報を取得する）
mt.cfgへのアクセスが禁止される。

※　2005/1/21追記：
LimitによるGET要求のアクセス制限は、他のメソッドでの要求で破られる可能性があるそうです。
参考はこちら。
情報はotsuneさんから。
ありがとうございました。

また、Berkeley DBの方（私も）は
MTのCGIが置いてあるフォルダ内にあるDBもダウンロードし放題になっているので
そちらの方もDBフォルダ内に

<Files *>
<Limit GET>　←この行については下記の追記参照
deny from all
</Limit>　←この行については下記の追記参照
</Files>

※2005/1/21追記
↑現在、私は簡易DBではなく、SQLデータベースを仕様しています。
Limit GETの行を消す事で、
例えばコメントのPostや記事の更新等が出来なくなる可能性があるかもしれません。
ないかもしれません。実験出来ません。ゴメンなさい。
その場合は、
</Limit>のすぐ下に

<LimitExcept GET>
Order deny,allow
Deny from all
</LimitExcept>

と付け加えれば多分大丈夫かもしれません。
大丈夫じゃなかったらごめんなさい。※追記ココまで

と記述した.htaccessを置いた方がいいだろう。
但し、上記の方法は、サーバで.htaccessが使える事が前提となる。

や、しかし知りませんでした。
まさかmt.cfgが丸見え状態だったなんて。びびった。
情報収集の大事さを思い知りました。
ヤヴァイ。(ﾟ∀ﾟ)ﾗｳﾞｨ!!もやばかったけど（違）
丸見えの方がヤヴァイでしょ。

MT使ってる方で対策してない方、即対策をオススメします。
って、ココまで気が付いてなかった奴ってオレだけですか、そういう気もします。

Tweet