Manual:$wgAuthenticationTokenVersion

$wgAuthenticationTokenVersion はデータベースに格納されたトークンに修飾を加えるのに使われます（既定値は user.user_token ですが、CentralAuth のような認証拡張機能の中には、異なる項目を使うものもあります）。この設定は（「ログイン状態を保持」オプションを有効にしてログインしたとき）cookieを送る前に適用されます。 これは、この値を変更するとすべてのセッションを切断して全ユーザをログアウトさせることを意味します。 これは多数のアカウントがセキュリティ侵害を受けた場合など緊急事態での適用を意図しています。

$wgAuthenticationTokenVersion に null を設定した場合、データベースから得られたトークン値がそのままcookieに設定されます。

この設定を使ってユーザをログアウトさせるとき、以下に記す二つの制約があることを留意しておいてください。

• 攻撃者がデータベースから元のトークン値を得て、しかも $wgAuthenticationTokenVersion の設定値も知っている場合、いつでもcookieの値を計算できてしまいます。
• $wgAuthenticationTokenVersion を null から別の値に変更すると、古い cookie はデータベースにある値そのままを含んでいることになります。だから、ユーザがログアウトさせられたとしても、詳しい人であれば古いセッションを復元できてしまいます。

• resetUserTokens.php
• resetGlobalUserTokens.php - CentralAuth 内