う・・・ログアウトしてない、mt.cgiのパスすぐわかる、おまけにmt.cfgも見放題だった(ぉ)。ということで、とりあえずAdminCGIPath設定してhttp鯖で仮想パス設定してBASIC認証かけてcfg拡張子見れないようにして、mt.cgiを直に弄ってアクセスURLが認証パスじゃなかったら蹴るように設定しておいた。これでちょっとはましかなぁ。とりあえず対策版入れるまでということで・・・。

（↑ちなみにこれ、「Toyoaki's PC」に投げたコメントのまんまコピー(ぉ)）

・・というか、ログアウトするとかいう発想はすでにない(ぉ)。第一ベーシック認証のパス抜かれたらどうするんだ（平文だし、SSLとかないし）？まあ、それはMT以外でも起こりうるので、今回はとりあえずMTのみ強化ということで。もしかすると将来的にはapacheとかに乗り換えてSSLとか入れるかも。あ゛、でもSSLは認証局とかいるのか～・・面倒そうだな。