Manual:$wgSecretKey
Segurança: $wgSecretKey | |
---|---|
Essa configuração deve ser sempre uma cadeia de caracteres secreta e única no arquivo LocalSettings.php . |
|
Introduzido na versão: | 1.4.0 |
Removido na versão: | ainda em uso |
Valores permitidos: | (cadeia de caracteres) |
Valor padrão: | false |
Outras definições: Alfabético | Por função |
Detalhes
Essa configuração deve ser sempre uma cadeia de caracteres secreta e única no arquivo LocalSettings.php .
O arquivo Installer.php define-a como uma cadeia de 64 caracteres aleatórios, gerados pela função MWCryptRand::generateHex( 64 );
.
Na ocasião de nenhuma fonte de entropia melhor estar disponível para o MediaWiki, esse valor é utilizado como uma fonte de entropia criptográfica para gerar campos user_token . Esses campos são inseridos na tabela user , que os armazena como cookies persistentes para autenticação (definidos quando o usuário seleciona “Lembrar minhas credenciais neste navegador”), seguros contra spoofing.
Em versões modernas do PHP, as quais possuem acesso à funcionalidade /dev/urandom
ou às funções de aleatoriedade das bibliotecas mcrypt e openssl, elas são utilizadas no lugar dessa variável durante a geração de tokens.
Entretanto, essa variável ainda é utilizada para outros propósitos e, por isso, deve sempre conter um valor aleatório e único, mesmo ao utilizarmos o PHP moderno.
$wgProxyKey
Entre as versões 1.3 e 1.4, a $wgProxyKey era a configuração documentada para esse propósito. Na 1.4, ela tornou-se depreciada, favorecendo a $wgSecretKey. Finalmente, na 1.24, a $wgProxyKey foi removida (sim, após quase 10 anos!).