Jump to content

Manual:$wgSecretKey

From mediawiki.org
This page is a translated version of the page Manual:$wgSecretKey and the translation is 100% complete.
Segurança: $wgSecretKey
Essa configuração deve ser sempre uma cadeia de caracteres secreta e única no arquivo LocalSettings.php .
Introduzido na versão:1.4.0
Removido na versão:ainda em uso
Valores permitidos:(cadeia de caracteres)
Valor padrão:false

Detalhes

Essa configuração deve ser sempre uma cadeia de caracteres secreta e única no arquivo LocalSettings.php . O arquivo Installer.php define-a como uma cadeia de 64 caracteres aleatórios, gerados pela função MWCryptRand::generateHex( 64 );.

Na ocasião de nenhuma fonte de entropia melhor estar disponível para o MediaWiki, esse valor é utilizado como uma fonte de entropia criptográfica para gerar campos user_token . Esses campos são inseridos na tabela user , que os armazena como cookies persistentes para autenticação (definidos quando o usuário seleciona “Lembrar minhas credenciais neste navegador”), seguros contra spoofing. Em versões modernas do PHP, as quais possuem acesso à funcionalidade /dev/urandom ou às funções de aleatoriedade das bibliotecas mcrypt e openssl, elas são utilizadas no lugar dessa variável durante a geração de tokens. Entretanto, essa variável ainda é utilizada para outros propósitos e, por isso, deve sempre conter um valor aleatório e único, mesmo ao utilizarmos o PHP moderno.

Atenção Atenção: Se o valor dessa variável “vazar” para o público, você deve gerar uma nova chave secreta.

$wgProxyKey

Entre as versões 1.3 e 1.4, a $wgProxyKey era a configuração documentada para esse propósito. Na 1.4, ela tornou-se depreciada, favorecendo a $wgSecretKey. Finalmente, na 1.24, a $wgProxyKey foi removida (sim, após quase 10 anos!).

Ver também