« dirify and Permalink (Movable Type) | メイン | .htaccess ファイルにより SSL 接続のみ許可する方法 »
2004年11月21日
ファイル mt-*.cgiのみ GET (POST) によるアクセスを許可する方法
mt.cgiなどを含むMovable Type [MT] ベーシックディレクトリへのアクセス制限(コントロール)ファイル .htaccess 3タイプ (例)
-ブラウザでの閲覧、投稿、TrackBackなどに不具合の発生しない制限範囲について
# (タイプ 1) ユーザー (ウェブログ著者) が独自ドメイン内に [mt]ディレクトリを設置したとき
# 通常のインストール方法
<Files *.cfg>
<Limit GET POST>
Order deny,allow
Deny from all
</Limit>
</Files>
# (タイプ 2-a) 独自ドメイン内・外に[mt]ディレクトリを設置したとき
# :ユーザー (ウェブログ著者) 専用[mt]ディレクトリ(独自ドメイン外)
<Files *.*>
<Limit GET POST>
Order deny,allow
Deny from all
Allow from 【ウェブログ著者の固定IPアドレス】
</Limit>
</Files>
# (タイプ 2-b) 独自ドメイン内・外に[mt]ディレクトリを設置したとき
# :一般利用者 (クライアント) の専用[mt]ディレクトリ (独自ドメイン内)
<Files *.*>
<Limit GET POST>
Order deny,allow
Deny from all
</Limit>
</Files>
<Files mt-*.cgi>
<Limit GET POST>
Order allow,deny
Allow from all
</Limit>
</Files>
==
[解説]
# タイプ 2-a, タイプ 2-b は Xrea.com さんのサーバなど独自ドメインをサブディレクトリに設定できるサーバ環境が必要です。
単一のDB をダブルインストールしたMTで操作するために、【AdminCGIPath】を利用します。詳しくは、
http://shellscript.biz/archives/000016.html
をご覧下さい。
# ファイル mt-*.cgi の中で、mt-load.cgi, mt-check.cgi, mt-upgrade*.cgiはインストール時のみ必要です (セキュリティ上、インストール完了後これらのファイルは削除します) 。
# mt-tb.cgiなどのTrackBack脆弱性の問題は、
「アプリケーション・レベルのコールバック機能」によるフラグイン
http://as-is.net/blog/archives/000902.html
の他、
http://blog.bulknews.net/mt/archives/001165.html
http://as-is.net/blog/archives/000897.html
をご覧下さい。
# 用語「ユーザー、ウェブログ著者」は、Movable Type 3.1 などの「ライセンス」に関する日本語ページから引用しました。
http://www.movabletype.jp/get_movable_type_personal.shtml
投稿者 mvtp : 2004年11月21日 16:44
トラックバック
このエントリーのトラックバックURL:
38
コメント
コメントしてください
サイン・インを確認しました、 . さん。コメントしてください。 (サイン・アウト)
(いままで、ここでコメントしたとがないときは、コメントを表示する前にこのウェブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)