Jump to content

Manual:$wgAuthenticationTokenVersion

From mediawiki.org
This page is a translated version of the page Manual:$wgAuthenticationTokenVersion and the translation is 100% complete.
認証: $wgAuthenticationTokenVersion
変更すると、既存のセッションはすべて無効になります。
導入されたバージョン:1.27.0 (Gerrit change 267734; git #fbec46e3)
除去されたバージョン:使用中
許容される値:(文字列)
既定値:null

詳細

$wgAuthenticationTokenVersion はデータベースに格納されたトークンに修飾を加えるのに使われます(既定値は user.user_token ですが、CentralAuth のような認証拡張機能の中には、異なる項目を使うものもあります)。この設定は(「ログイン状態を保持」オプションを有効にしてログインしたとき)cookieを送る前に適用されます。 これは、この値を変更するとすべてのセッションを切断して全ユーザをログアウトさせることを意味します。 これは多数のアカウントがセキュリティ侵害を受けた場合など緊急事態での適用を意図しています。

$wgAuthenticationTokenVersion に null を設定した場合、データベースから得られたトークン値がそのままcookieに設定されます。

この設定を使ってユーザをログアウトさせるとき、以下に記す二つの制約があることを留意しておいてください。

  • 攻撃者がデータベースから元のトークン値を得て、しかも $wgAuthenticationTokenVersion の設定値も知っている場合、いつでもcookieの値を計算できてしまいます。
  • $wgAuthenticationTokenVersion を null から別の値に変更すると、古い cookie はデータベースにある値そのままを含んでいることになります。だから、ユーザがログアウトさせられたとしても、詳しい人であれば古いセッションを復元できてしまいます。

関連項目