ファイル mt-*.cgiのみ GET (POST) によるアクセスを許可する方法

leave a comment »

mt.cgiなどを含むMovable Type [MT] ベーシックディレクトリへのアクセス制限(コントロール)ファイル .htaccess ３タイプ (例)
－ブラウザでの閲覧、投稿、TrackBackなどに不具合の発生しない制限範囲について
# (タイプ 1) ユーザー (ウェブログ著者) が独自ドメイン内に [mt]ディレクトリを設置したとき
# 通常のインストール方法
<Files *.cfg>
      <Limit GET POST>
      Order deny,allow
      Deny from all
    </Limit>
   </Files>
# (タイプ 2-a) 独自ドメイン内・外に[mt]ディレクトリを設置したとき
# :ユーザー (ウェブログ著者) 専用[mt]ディレクトリ(独自ドメイン外)
<Files *.*>
      <Limit GET POST>
      Order deny,allow
      Deny from all
      Allow from 【ウェブログ著者の固定IPアドレス】
    </Limit>
   </Files>
# (タイプ 2-b) 独自ドメイン内・外に[mt]ディレクトリを設置したとき
# :一般利用者 (クライアント) の専用[mt]ディレクトリ (独自ドメイン内)
<Files *.*>
      <Limit GET POST>
      Order deny,allow
      Deny from all
    </Limit>
   </Files>
<Files mt-*.cgi>
      <Limit GET POST>
      Order allow,deny
      Allow from all
    </Limit>
   </Files>
==
[解説]
# タイプ 2-a, タイプ 2-b は Xrea.com さんのサーバなど独自ドメインをサブディレクトリに設定できるサーバ環境が必要です。
単一のDB をダブルインストールしたMTで操作するために、【AdminCGIPath】を利用します。詳しくは、
   http://shellscript.biz/archives/000016.html
をご覧下さい。
# ファイル mt-*.cgi の中で、mt-load.cgi, mt-check.cgi, mt-upgrade*.cgiはインストール時のみ必要です (セキュリティ上、インストール完了後これらのファイルは削除します) 。
# mt-tb.cgiなどのTrackBack脆弱性の問題は、
「アプリケーション・レベルのコールバック機能」によるフラグイン
http://as-is.net/blog/archives/000902.html
の他、
http://blog.bulknews.net/mt/archives/001165.html
http://as-is.net/blog/archives/000897.html
をご覧下さい。
# 用語「ユーザー、ウェブログ著者」は、Movable Type 3.1 などの「ライセンス」に関する日本語ページから引用しました。
http://www.movabletype.jp/get_movable_type_personal.shtml

広告

Written by support

2004/11/21 @ 16:44

カテゴリー: ブログ blog