4/17發布了MT 3.35 的更新。這次修正了一個XSS的弱點外,還新增了安裝精靈的功能。
如果你是第一次使用MT,安裝的時候,增加了安裝精靈幫助你設定環境。以前都是要自己去改mt-config.cgi這隻檔案,現在不用了。
而Six Apart這次還更改了下載MT的方式。以前要下載MT總是要先註冊成TypeKey的會員,才成登入下載。以後不用了,你只要把下載頁的接受許可書打勾,就可以下載了。筆者認為一定是現在競爭激烈,門檻設太高,就不太有人想用了。^^
不過這次XSS的弱點,對於已經有自己MT的部落格的朋友們,這次不能靠昇級就把Bug修正。而必須手動修正這各弱點。
這各弱點主要是當使用者使用Internet Explorer 6.0而且登入TypeKey後,在發表留言時,會被惡意的Script竊取TypeKey的Session。
雖然比筆者根本不會去登入,不過還是手動修正了它。
修正方式如下:
1、登入MT管理後台,在系統一覽(System Overview)裡面,在左邊的導引選單中,點選搜尋取代(Search and Replace)的連結。
2、切換到範本(Templates)的Tab,
3、在搜尋的輸入框中打上:<$MTCommentPreviewAuthor$>
然後按搜尋,就會出現你現有的Blog中已經找到的範本。
4、然後點選搜索/替換(Search and Replace)的選項,在替換的輸入框中打上:
<$MTCommentPreviewAuthor encode_html="1"$>
5、把剛剛搜尋出來的範本都打勾,然後按替換選擇(Replace Checked)按鈕。
6、重複3~5步驟,分別把:
<$MTCommentPreviewEmail$> 取代成 <$MTCommentPreviewEmail encode_html="1"$>
<$MTCommentPreviewURL$> 取代成 <$MTCommentPreviewURL encode_html="1"$>
這樣就可以修正這各弱點了。
相關文章:
*[教學]MT(Movable Type)4.x Plugin 相關文章(RelatedEntries)
*MT(Movable Type)4.x 修正後台Javascript錯誤
*MT(Movable Type)4.x 修正記住我(Remember me)
*在MT(Movable Type)4.x中加入關鍵字(keywords),讓搜尋引擎快快搜到!
*MT(Movable Type)4.x啟動圖形驗證功能(Captcha)
*MT(Movable Type)4.x 寄出的通知信編碼改成UTF8
*將MT(Movable Type)的分月彙整(Archives)改成選單式
Leave a comment