Příručka:$wgAuthenticationTokenVersion
Přihlášení: $wgAuthenticationTokenVersion | |
---|---|
Při změně jsou všechny existující relace zrušeny. |
|
Zavedeno od verze: | 1.27.0 (Gerrit change 267734; git #fbec46e3) |
Odstraněno od verze: | stále se používá |
Povolené hodnoty: | (řetězec) |
Výchozí hodnota: | null |
Další nastavení: Podle abecedy | Podle funkce |
Podrobnosti
$wgAuthenticationTokenVersion
se používá k salt tokenu uloženého v databázi (ve výchozím nastavení user.user_token
. Některá autentizační rozšíření, jako je CentralAuth , používají jiné pole) před jeho odesláním jako cookie (což se provádí, když se někdo přihlásí s povolenou možností "zapamatovat si mě"). .
To znamená, že změna hodnoty okamžitě odpojí všechny relace a odhlásí všechny uživatele.
To je určeno pro nouzové situace, jako je například hromadný kompromis účtu.
Pokud je $wgAuthenticationTokenVersion
nastaveno na null, je v souboru cookie nastavena nezpracovaná hodnota tokenu z databáze.
Upozorňujeme, že použití tohoto nastavení k odhlášení uživatelů má dvě omezení:
- Pokud útočník získal nezpracovanou hodnotu tokenu z databáze a zná hodnotu
$wgAuthenticationTokenVersion
, může vždy vypočítat hodnotu cookie. - pokud se
$wgAuthenticationTokenVersion
změní z null na jinou hodnotu, staré soubory cookie budou obsahovat nezpracovanou hodnotu databáze. Takže zatímco uživatelé budou odhlášeni, sofistikovaní uživatelé mohou obnovit svou starou relaci.
Související odkazy
- resetUserTokens.php
- resetGlobalUserTokens.php - v CentralAuth