Manuel:$wgSecretKey
| Sécurité: $wgSecretKey | |
|---|---|
| Cela doit toujours être personnalisé en une chaîne secrète et unique dans LocalSettings.php. |
|
| Introduit dans la version : | 1.4.0 |
| Retiré dans la version : | Encore utilisé |
| Valeurs autorisées : | (chaîne) |
| Valeur par défaut : | false |
| Autres paramètres : Alphabétique | Par fonction | |
Détails
Cela doit toujours être personnalisé en une chaîne secrète et unique dans LocalSettings.php.
Installer.php le définit sur une chaîne aléatoire de 64 caractères générée par MWCryptRand::generateHex( 64 );
Lorsqu'aucune meilleure source d'entropie n'est disponible pour MediaWiki, cette valeur est utilisée comme source d'entropie cryptographique lors de la génération de $tokens à insérer dans la table user qui est utilisée comme cookie persistant pour l'authentification (lorsqu'un utilisateur coche "Se souvenir de mon login sur ce navigateur ") qui résiste à l'usurpation d'identité. Sur les versions PHP modernes avec accès à /dev/urandom, mcrypt random ou openssl random, ces fonctions sont utilisées à la place de cette variable dans le but de générer des jetons. Cependant, cette variable est toujours utilisée à d'autres fins, il est donc toujours très important qu'elle soit définie sur une valeur aléatoire unique, même sur PHP moderne.
 Avertissement : | Si la valeur de la variable s'échappe, vous devez générer une nouvelle clé secrète. |
$wgProxyKey
De 1.3 à 1.4, $wgProxyKey était le paramètre documenté pour cela. Dans la version 1.4, cela a été marqué comme obsolète au profit de $wgSecretKey. En 1.24, $wgProxyKey a été supprimé (oui, il a vraiment fallu presque 10 ans pour le supprimer).