دليل:$wgAuthenticationTokenVersion
| التصديق: $wgAuthenticationTokenVersion | |
|---|---|
| حينما تتغير القيمة، تصبح كافة الجلسات القائمة غير سارية. |
|
| أضيف في الإصدار: | 1.27.0 (Gerrit change 267734; git #fbec46e3) |
| حذف من الإصدار: | لا يزال مستخدم |
| القيم المسموح بها: | (سلسلة) |
| القيمة الافتراضية: | null |
| إعدادات أخرى: أبجدية | حسب الدالة | |
التفاصيل
يستخدم المتغير $wgAuthenticationTokenVersion في تمليح الرمز المخزن في قاعدة البيانات (user.user_token بصفة افتراضية؛ تستخدم بعض امتدادات التصديق مثل CentralAuth خانة أخرى) قبل إرساله في صفة ملف تعريف ارتباط (وهو ما يحدث حينما يسجل شخص ما الدخول حينما يكون الخيار «تذكرني» مفعّلًا).
يعني هذا أن تغيير القيمة سوف يفصل في الحال كافة الجلسات ويسجل خروج كافة المستخدمين.
هذا الأمر الغرض منه حالات الطوارئ مثل حدوث اختراق لعدد كبير من الحسابات.
لو ضبطت قيمة $wgAuthenticationTokenVersion لتكون «null»، سوف تضبط قيمة الرمز الخام المأخوذة من قاعدة البيانات في ملف تعريف الارتباط.
لاحظ أن استخدام هذا الإعداد في أغراض تسجيل خروج المستخدمين ينضوي على عيبين اثنين:
- لو حصل المهاجم على قيمة الرمز الخام من قاعدة البيانات، وكان يعلم قيمة
$wgAuthenticationTokenVersion، يمكنه دائمًا حساب قيمة ملف تعريف الارتباط. - لو تغيرت قيمة
$wgAuthenticationTokenVersionمن «null» إلى قيمة أخرى، سوف تحتوي ملفات تعريف الارتباط القديمة قيمة قاعدة البيانات الخام؛ وبالتالي، بينما يكون المستخدمين مسجلو الخروج، يمكن للمستخدمين ذوي المعرفة العميقة استعادة جلساتهم السابقة.
انظر أيضا
- resetUserTokens.php
- resetGlobalUserTokens.php - في CentralAuth