mtddc tokyo 2011
Post on 16-Apr-2017
7.915 Views
Preview:
TRANSCRIPT
MTDDC Tokyo 2011
シックス・アパート株式会社金子 順
自己紹介 : 金子 順2009年より日本および海外での製品開発、リリース、コミュニティーマネジメントを担当twitter: goodpicblog: www.goodpic.com
本日のアジェンダ
の新機能5.1
本日のアジェンダ
荒木勇次郎/蒲生トシヒロ/藤本壱/西畑一馬/柳 泰久/伊藤のりゆき/金子順/高橋真弓/天野卓/奥脇知宏[著] 蒲生トシヒロ[編] シックス・アパート株式会社[監修]
! "#$%&'()*&'+,-
詳しくは書籍で...
今すぐできるセキュリティ強化
本日のアジェンダ
5.1
5月25日に正式版公開
5.1
4.2924.37 5.06
5.12
MTOSPro
Advanced
6/9 と 6/23 にセキュリティーアップデート
詳しくは:http://www.movabletype.jp/ をご覧下さい
セキュリティ強化月間
現在、MT開発チームは
今後数週間をかけて、全ソースコードをレビュー
半日でできるセキュリティ強化
✓ 常に最新版を使う✓ 管理画面のアクセス制限✓ SSLを利用✓ ファイルアップロード制限
いくつ実施していますか?
CGIファイルのみ
コンテンツのみ
管理画面のアクセス制限
/cgi-bin/*.cgi /mt-static//*.html
CGIの実行を禁止実行ファイルのみ
http://example.com
CGIとドキュメントディレクトリを分離
/cgi-bin/*
ネットワーク的なアクセス制限
CGIを別ドメインにして、IPアドレスやドメイン名でアクセス制限したり、DMZ内に配置する
詳しくは http://httpd.apache.org/docs/2.2/ja/mod/mod_authz_host.html
mt.cgi のスクリプト名を変更
https://example.com/cgi-bin/mt/mt.cgi
notmt.cgi
ボットや第三者による、管理画面URLの類推を防ぐ
環境変数 (mt-config.cgi) で設定
AdminScript notmt.cgihogehoge.cgi とか、 どんな名前でもよい。
/cgi-bin/mt.cgi
mt.cgi にBasic認証をかける
コメント(mt-comments.cgi)やコミュニティ(mt-cp.cgi)にはログインOKだが、管理画面(mt.cgi)へのアクセスは制限
詳しくは http://httpd.apache.org/docs/2.2/ja/howto/auth.html
AuthType BasicAuthName "Restricted Files"AuthUserFile /path/to/.htpasswd<Files mt.cgi> Require valid-user</Files>
.htaccess
<Directory "/home/example/www">
</Directory>
etc....
httpd.conf
Basic認証とMTアカウントは必ず別のID・パスワードを設定
基本的にSSL必須。SSLを利用しないと、
平文でIDとパスワードがネットワーク流れるため、むしろ危険性が増す場合も。
SSL通信
管理画面を、SSLで保護
SSL通信
サーバとブラウザ間の通信を暗号化
StaticWebPath /mt-static
環境変数 (mt-config.cgi) の設定
必ず相対パスで指定
管理画面内で画像やCSSなどのファイルがSSLと非SSLで混在しないように
AdminCGIPath https://example.com/cgi-bin/mt/
CGIPath http://example.com/cgi-bin/mt/
環境変数 (mt-config.cgi) の設定
管理画面のURL(SSL)
管理画面以外のスクリプトのURL
ただし、この設定だけで『管理画面がSSL必須』になる訳では無い
AuthType BasicAuthName "Restricted Files"AuthUserFile /path/to/passwords<Files mt.cgi> Require valid-user SSLRequireSSL</Files>
.htaccess
<Directory "/home/example/www">
</Directory>
httpd.conf
案1. SSLでない場合はForbidden
etc....
RewriteEngine OnRewriteCond %{SERVER_PORT} ^80$RewriteRule ^(cgi-bin/mt\.cgi)$
https://%{SERVER_NAME}/$1 [R,L]
.htaccess
<Directory "/home/example/www">
</Directory>
httpd.conf
案2. SSLにリダイレクトする
etc....
実際は一行で
でも、SSLって、、、
お高いんでしょう?
ブランド名や、携帯対応を気にしなければ海外の安いものでも問題ない。
RapidSSL(GeoTrust, Inc)やGo Daddy SSL などは
$20 - 40 / 年 で取得可能
ファイルアップロードの制限
AssetFileExtensionsDeniedAssetFileExtensions
MT 4.291 / 4.361 / 5.051 / 5.11以降のバージョンで、環境変数として利用可能
AssetFileExtensions
"gif,jpe?g,png,bmp,tiff?,mp3,ogg,aiff,wav,wma, aac, flac,m4a,mov, avi,3gp,asf,mp4,qt,wmv, asx,mpg,flv,mkv,ogm"
ホワイトリスト : 指定した拡張子のファイ
ルだけをアップロード可能。初期値は無いので、独自に指定。
DeniedAssetFileExtensions
"ascx,asis,asp,aspx,bat,cfc,cfm,cgi,cmd,com,cpl,dll,exe,htaccess,htm,html,inc,jhtml,js,jsb,jsp,mht,mhtml,msi,php,php2,php3,php4,php5,phps,phtm,phtml,pif,pl,pwml,py,reg,scr,sh,shtm,shtml,vbs,vxd"
ブラックリスト : 指定した拡張子のファイ
ルは、アイテムとしてアップロードできない。上記が初期値。初期値に加えて追加指定。
半日でできるセキュリティ対策
✓ 常に最新版を使う✓ 管理画面のアクセス制限✓ SSLを利用✓ ファイルアップロード制限
できることは確実に!
今後のプラン
5.2セキュリティ強化月間の後に7月から要件定義フェーズへ
Safari / Firefox 最新版
Internet Explorer 95.13か5.14で対応予定
5.1x各リリースで追従
Chrome 最新版バグがあったら直します
スマートフォン対応
要望、バグ報告、随時募集中!http://communities.movabletype.jp/
http://bugs.movabletype.org/
残り時間で?
の新機能5.1
Blog A Blog B Blog C
Website 1 Website 2
Blog D Blog F
Systemシステム+ウェブサイト+ブログの連携強化& テンプレートタグ強化カテゴリ、フォルダ、投稿画面の
並び替え
新しい一覧画面でソートやフィルタ
Webkit 対応
カテゴリ(フォルダ)の並び替え
記事数
追加フォーム保存ボタン
編集 | サブカテゴリ追加 | 削除編集画面
カテゴリとフォルダの新しい管理画面
ラベルとベースネームを一覧で編集
<$mt:CategoryLabel$>日本語の表示名
<$mt:CategoryBasename$>URLで使う英語名
カテゴリをドラッグ&ドロップで並び替え
階層下げる階層上げる
並び替え
別のカテゴリのサブカテゴリに
demo
<mt:SubCategories
sort_by=”label” sort_order=”descend”>
• label• description• basename• created_on• modified_on• user_custom (default)
• ascend• descend
• mt:TopLevelCategories• mt:SubCategories• mt:TopLevelFolders• mt:SubFolders
New in 5.1
<mt:SubCategories sort_by=”label” sort_order=”descend”>
</mt:SubCategories>
<mt:CategoryNext>
<mt:CategoryPrevious>
<mt:Entries> <mt:EntryPrimaryCategory> <$mt:CategoryLabel$> </mt:EntryPrimaryCategory></mt:Entries>
New in 5.1
一覧画面の強化
MT5.0x の表示オプション
Before...
表示オプション
様々な情報を一覧に表示
クリック毎に昇順/降順でソート
コメントの多いブログ記事は?リストの各カラムで昇順、降順ソートが可能
複数条件の組み合わせてフィルタ
フィルタパネルを開くフィルタ項目を選択
複数フィルタを組み合わせ
ページをまたぐ全件選択とアクション実行
demo
フィルターを保存
フィルタの再利用
ウェブサイト
ブログ
システム
システムでMT全体のコンテンツを管理
Ajax によるパフォーマンス向上
New in 5.1
新しい一覧の機能は
すべての一覧で利用可能
ウェブサイト、ブログ、ブログ記事、ウェブページ、アイテム、タグ、コメント、トラックバック、ユーザー、コメント、メンバー、フィルター、カスタムフィールド、権限、ロール、禁止IPアドレス、アドレス帳、ログ、グループ(Movable Type Advanced)、グループメンバー(Movable Type Advanced)
マルチブログの強化
<mt:Entries include_blogs=”children”>
website
Blog 1 Blog 2 Blog 3
マルチブログ
<mt:Entries include_blogs=”children”exclude_blogs=”2”>
website
Blog 1 Blog 2 Blog 3
New in 5.1
ウェブサイトのテンプレートをインクルード
<$mt:Include module="X" parent="1"$>
Website
Blog A Blog B Blog C
ブログからウェブサイトのテンプレートをインクルード。注) ウェブサイトにテンプレートがない場合でもグローバルは参照しない。
New in 5.1
<mt:XX trim_to=”5+...” />
"N+文字列" で省略文字を指定。例えば、trim_to="5+..."
と指定すると、"サンプルの文章です"という文章は"サンプルの..."と表示されます
Thank you !
top related