Jump to content

دليل:‎$wgAuthenticationTokenVersion

From mediawiki.org
This page is a translated version of the page Manual:$wgAuthenticationTokenVersion and the translation is 100% complete.
التصديق: $wgAuthenticationTokenVersion
حينما تتغير القيمة، تصبح كافة الجلسات القائمة غير سارية.
أضيف في الإصدار:1.27.0 (Gerrit change 267734; git #fbec46e3)
حذف من الإصدار:لا يزال مستخدم
القيم المسموح بها:(سلسلة)
القيمة الافتراضية:null

التفاصيل

يستخدم المتغير ‎$wgAuthenticationTokenVersion في تمليح الرمز المخزن في قاعدة البيانات (‎user.user_token‎ بصفة افتراضية؛ تستخدم بعض امتدادات التصديق مثل CentralAuth خانة أخرى) قبل إرساله في صفة ملف تعريف ارتباط (وهو ما يحدث حينما يسجل شخص ما الدخول حينما يكون الخيار «تذكرني» مفعّلًا). يعني هذا أن تغيير القيمة سوف يفصل في الحال كافة الجلسات ويسجل خروج كافة المستخدمين. هذا الأمر الغرض منه حالات الطوارئ مثل حدوث اختراق لعدد كبير من الحسابات.

لو ضبطت قيمة ‎$wgAuthenticationTokenVersion لتكون «null»، سوف تضبط قيمة الرمز الخام المأخوذة من قاعدة البيانات في ملف تعريف الارتباط.

لاحظ أن استخدام هذا الإعداد في أغراض تسجيل خروج المستخدمين ينضوي على عيبين اثنين:

  • لو حصل المهاجم على قيمة الرمز الخام من قاعدة البيانات، وكان يعلم قيمة ‎$wgAuthenticationTokenVersion، يمكنه دائمًا حساب قيمة ملف تعريف الارتباط.
  • لو تغيرت قيمة ‎$wgAuthenticationTokenVersion من «null» إلى قيمة أخرى، سوف تحتوي ملفات تعريف الارتباط القديمة قيمة قاعدة البيانات الخام؛ وبالتالي، بينما يكون المستخدمين مسجلو الخروج، يمكن للمستخدمين ذوي المعرفة العميقة استعادة جلساتهم السابقة.

انظر أيضا