Jump to content

Manuel:$wgSecretKey

From mediawiki.org
This page is a translated version of the page Manual:$wgSecretKey and the translation is 100% complete.
Sécurité: $wgSecretKey
Cela doit toujours être personnalisé en une chaîne secrète et unique dans LocalSettings.php .
Introduit dans la version :1.4.0
Retiré dans la version :Encore utilisé
Valeurs autorisées :(chaîne)
Valeur par défaut :false

Détails

Cela doit toujours être personnalisé en une chaîne secrète et unique dans LocalSettings.php . Installer.php le définit sur une chaîne aléatoire de 64 caractères générée par MWCryptRand::generateHex( 64 );

Lorsqu'aucune meilleure source d'entropie n'est disponible pour MediaWiki, cette valeur est utilisée comme source d'entropie cryptographique lors de la génération de $tokens à insérer dans la table user qui est utilisée comme cookie persistant pour l'authentification (lorsqu'un utilisateur coche "Se souvenir de mon login sur ce navigateur ") qui résiste à l'usurpation d'identité. Sur les versions PHP modernes avec accès à /dev/urandom, mcrypt random ou openssl random, ces fonctions sont utilisées à la place de cette variable dans le but de générer des jetons. Cependant, cette variable est toujours utilisée à d'autres fins, il est donc toujours très important qu'elle soit définie sur une valeur aléatoire unique, même sur PHP moderne.

Avertissement Avertissement : Si la valeur de la variable s'échappe, vous devez générer une nouvelle clé secrète.

$wgProxyKey

De 1.3 à 1.4, $wgProxyKey était le paramètre documenté pour cela. Dans la version 1.4, cela a été marqué comme obsolète au profit de $wgSecretKey. En 1.24, $wgProxyKey a été supprimé (oui, il a vraiment fallu presque 10 ans pour le supprimer).

Voir aussi