Podrobnosti

$wgAuthenticationTokenVersion se používá k salt tokenu uloženého v databázi (ve výchozím nastavení user.user_token. Některá autentizační rozšíření, jako je CentralAuth , používají jiné pole) před jeho odesláním jako cookie (což se provádí, když se někdo přihlásí s povolenou možností "zapamatovat si mě"). . To znamená, že změna hodnoty okamžitě odpojí všechny relace a odhlásí všechny uživatele. To je určeno pro nouzové situace, jako je například hromadný kompromis účtu.

Pokud je $wgAuthenticationTokenVersion nastaveno na null, je v souboru cookie nastavena nezpracovaná hodnota tokenu z databáze.

Upozorňujeme, že použití tohoto nastavení k odhlášení uživatelů má dvě omezení:

• Pokud útočník získal nezpracovanou hodnotu tokenu z databáze a zná hodnotu $wgAuthenticationTokenVersion, může vždy vypočítat hodnotu cookie.
• pokud se $wgAuthenticationTokenVersion změní z null na jinou hodnotu, staré soubory cookie budou obsahovat nezpracovanou hodnotu databáze. Takže zatímco uživatelé budou odhlášeni, sofistikovaní uživatelé mohou obnovit svou starou relaci.

Související odkazy

• resetUserTokens.php
• resetGlobalUserTokens.php - v CentralAuth