MTDDC Tokyo 2011

シックス・アパート株式会社金子 順

自己紹介 : 金子 順2009年より日本および海外での製品開発、リリース、コミュニティーマネジメントを担当twitter: goodpicblog: www.goodpic.com

本日のアジェンダ

の新機能5.1

本日のアジェンダ

荒木勇次郎/蒲生トシヒロ/藤本壱/西畑一馬/柳 泰久/伊藤のりゆき/金子順/高橋真弓/天野卓/奥脇知宏［著］　　蒲生トシヒロ［編］　シックス・アパート株式会社［監修］

! "#$%&'()*&'+,-

詳しくは書籍で...

今すぐできるセキュリティ強化

本日のアジェンダ

5.1

５月２５日に正式版公開

5.1

4.2924.37 5.06

5.12

MTOSPro

Advanced

6/9 と 6/23 にセキュリティーアップデート

詳しくは:http://www.movabletype.jp/ をご覧下さい

セキュリティ強化月間

現在、MT開発チームは

今後数週間をかけて、全ソースコードをレビュー

半日でできるセキュリティ強化

✓ 常に最新版を使う✓ 管理画面のアクセス制限✓ SSLを利用✓ ファイルアップロード制限

いくつ実施していますか？

CGIファイルのみ

コンテンツのみ

管理画面のアクセス制限

/cgi-bin/*.cgi /mt-static//*.html

CGIの実行を禁止実行ファイルのみ

http://example.com

CGIとドキュメントディレクトリを分離

/cgi-bin/*

ネットワーク的なアクセス制限

CGIを別ドメインにして、IPアドレスやドメイン名でアクセス制限したり、DMZ内に配置する

詳しくは http://httpd.apache.org/docs/2.2/ja/mod/mod_authz_host.html

mt.cgi のスクリプト名を変更

https://example.com/cgi-bin/mt/mt.cgi

notmt.cgi

ボットや第三者による、管理画面URLの類推を防ぐ

環境変数 (mt-config.cgi) で設定

AdminScript notmt.cgihogehoge.cgi とか、 どんな名前でもよい。

/cgi-bin/mt.cgi

mt.cgi にBasic認証をかける

コメント（mt-comments.cgi）やコミュニティ(mt-cp.cgi)にはログインOKだが、管理画面(mt.cgi)へのアクセスは制限

詳しくは http://httpd.apache.org/docs/2.2/ja/howto/auth.html

AuthType BasicAuthName "Restricted Files"AuthUserFile /path/to/.htpasswd<Files mt.cgi> Require valid-user</Files>

.htaccess

<Directory "/home/example/www">

</Directory>

etc....

httpd.conf

Basic認証とMTアカウントは必ず別のID・パスワードを設定

基本的にSSL必須。SSLを利用しないと、

平文でIDとパスワードがネットワーク流れるため、むしろ危険性が増す場合も。

SSL通信

管理画面を、SSLで保護

SSL通信

サーバとブラウザ間の通信を暗号化

StaticWebPath /mt-static

環境変数 (mt-config.cgi) の設定

必ず相対パスで指定

管理画面内で画像やCSSなどのファイルがSSLと非SSLで混在しないように

AdminCGIPath https://example.com/cgi-bin/mt/

CGIPath http://example.com/cgi-bin/mt/

環境変数 (mt-config.cgi) の設定

管理画面のURL(SSL)

管理画面以外のスクリプトのURL

ただし、この設定だけで『管理画面がSSL必須』になる訳では無い

AuthType BasicAuthName "Restricted Files"AuthUserFile /path/to/passwords<Files mt.cgi> Require valid-user SSLRequireSSL</Files>

.htaccess

<Directory "/home/example/www">

</Directory>

httpd.conf

案1. SSLでない場合はForbidden

etc....

RewriteEngine OnRewriteCond %{SERVER_PORT} ^80$RewriteRule ^(cgi-bin/mt\.cgi)$

https://%{SERVER_NAME}/$1 [R,L]

.htaccess

<Directory "/home/example/www">

</Directory>

httpd.conf

案2. SSLにリダイレクトする

etc....

実際は一行で

でも、SSLって、、、

お高いんでしょう？

ブランド名や、携帯対応を気にしなければ海外の安いものでも問題ない。

RapidSSL（GeoTrust, Inc）やGo Daddy SSL などは

$20 - 40 / 年 で取得可能

ファイルアップロードの制限

AssetFileExtensionsDeniedAssetFileExtensions

MT 4.291 / 4.361 / 5.051 / 5.11以降のバージョンで、環境変数として利用可能

AssetFileExtensions

"gif,jpe?g,png,bmp,tiff?,mp3,ogg,aiff,wav,wma, aac, flac,m4a,mov, avi,3gp,asf,mp4,qt,wmv, asx,mpg,flv,mkv,ogm"

ホワイトリスト : 指定した拡張子のファイ

ルだけをアップロード可能。初期値は無いので、独自に指定。

DeniedAssetFileExtensions

"ascx,asis,asp,aspx,bat,cfc,cfm,cgi,cmd,com,cpl,dll,exe,htaccess,htm,html,inc,jhtml,js,jsb,jsp,mht,mhtml,msi,php,php2,php3,php4,php5,phps,phtm,phtml,pif,pl,pwml,py,reg,scr,sh,shtm,shtml,vbs,vxd"

ブラックリスト : 指定した拡張子のファイ

ルは、アイテムとしてアップロードできない。上記が初期値。初期値に加えて追加指定。

半日でできるセキュリティ対策

✓ 常に最新版を使う✓ 管理画面のアクセス制限✓ SSLを利用✓ ファイルアップロード制限

できることは確実に！

今後のプラン

5.2セキュリティ強化月間の後に７月から要件定義フェーズへ

Safari / Firefox 最新版

Internet Explorer 95.13か5.14で対応予定

5.1x各リリースで追従

Chrome 最新版バグがあったら直します

スマートフォン対応

要望、バグ報告、随時募集中！http://communities.movabletype.jp/

http://bugs.movabletype.org/

残り時間で？

の新機能5.1

Blog A Blog B Blog C

Website 1 Website 2

Blog D Blog F

Systemシステム+ウェブサイト+ブログの連携強化& テンプレートタグ強化カテゴリ、フォルダ、投稿画面の

並び替え

新しい一覧画面でソートやフィルタ

Webkit 対応

カテゴリ（フォルダ）の並び替え

記事数

追加フォーム保存ボタン

編集 | サブカテゴリ追加 | 削除編集画面

カテゴリとフォルダの新しい管理画面

ラベルとベースネームを一覧で編集

<$mt:CategoryLabel$>日本語の表示名

<$mt:CategoryBasename$>URLで使う英語名

カテゴリをドラッグ＆ドロップで並び替え

階層下げる階層上げる

並び替え

別のカテゴリのサブカテゴリに

demo

<mt:SubCategories

sort_by=”label” sort_order=”descend”>

• label• description• basename• created_on• modified_on• user_custom (default)

• ascend• descend

• mt:TopLevelCategories• mt:SubCategories• mt:TopLevelFolders• mt:SubFolders

New in 5.1

<mt:SubCategories sort_by=”label” sort_order=”descend”>

</mt:SubCategories>

<mt:CategoryNext>

<mt:CategoryPrevious>

<mt:Entries> <mt:EntryPrimaryCategory> <$mt:CategoryLabel$> </mt:EntryPrimaryCategory></mt:Entries>

New in 5.1

一覧画面の強化

MT5.0x の表示オプション

Before...

表示オプション

様々な情報を一覧に表示

クリック毎に昇順/降順でソート

コメントの多いブログ記事は？リストの各カラムで昇順、降順ソートが可能

複数条件の組み合わせてフィルタ

フィルタパネルを開くフィルタ項目を選択

複数フィルタを組み合わせ

ページをまたぐ全件選択とアクション実行

demo

フィルターを保存

フィルタの再利用

ウェブサイト

ブログ

システム

システムでMT全体のコンテンツを管理

Ajax によるパフォーマンス向上

New in 5.1

新しい一覧の機能は

すべての一覧で利用可能

ウェブサイト、ブログ、ブログ記事、ウェブページ、アイテム、タグ、コメント、トラックバック、ユーザー、コメント、メンバー、フィルター、カスタムフィールド、権限、ロール、禁止IPアドレス、アドレス帳、ログ、グループ（Movable Type Advanced）、グループメンバー（Movable Type Advanced）

マルチブログの強化

<mt:Entries include_blogs=”children”>

website

Blog 1 Blog 2 Blog 3

マルチブログ

<mt:Entries include_blogs=”children”exclude_blogs=”2”>

website

Blog 1 Blog 2 Blog 3

New in 5.1

ウェブサイトのテンプレートをインクルード

<$mt:Include module="X" parent="1"$>

Website

Blog A Blog B Blog C

ブログからウェブサイトのテンプレートをインクルード。注) ウェブサイトにテンプレートがない場合でもグローバルは参照しない。

New in 5.1

<mt:XX trim_to=”5+...” />

"N+文字列" で省略文字を指定。例えば、trim_to="5+..."

と指定すると、"サンプルの文章です"という文章は"サンプルの..."と表示されます

Thank you !