なんでもクッキー読まれて不正アクセスされる危険性があるとか。CSRFという脆弱性らしい。
う・・・ログアウトしてない、mt.cgiのパスすぐわかる、おまけにmt.cfgも見放題だった(ぉ)。ということで、とりあえずAdminCGIPath設定してhttp鯖で仮想パス設定してBASIC認証かけてcfg拡張子見れないようにして、mt.cgiを直に弄ってアクセスURLが認証パスじゃなかったら蹴るように設定しておいた。これでちょっとはましかなぁ。とりあえず対策版入れるまでということで・・・。
(↑ちなみにこれ、「Toyoaki's PC」に投げたコメントのまんまコピー(ぉ))
・・というか、ログアウトするとかいう発想はすでにない(ぉ)。第一ベーシック認証のパス抜かれたらどうするんだ(平文だし、SSLとかないし)?まあ、それはMT以外でも起こりうるので、今回はとりあえずMTのみ強化ということで。もしかすると将来的にはapacheとかに乗り換えてSSLとか入れるかも。あ゛、でもSSLは認証局とかいるのか~・・面倒そうだな。