PEAK XOOPS - auto-login hacked files for XOOPS 2.0.17

●XOOPS 2.0.17用ようのオートログインハック(+αあるふぁ)済ずみコアファイルパック (V3)

これは本家ほんけ版ばん用ようです。2.0.16JP 用ようではないので、注意ちゅういしてください！

--------------------------------------------------

XOOPS 2.0.17 に自動じどうログイン機能きのうを付与ふよするためのパッチです。
このアーカイブ内ないに含ふくまれる全ぜんファイルを、お使つかいのXOOPS 2.0.17 に上書うわがきすることで、自動じどうログイン機能きのうが有効ゆうこうになります。（実際じっさいには上書うわがき後ごに、システムモジュールをアップデートするか、ログインブロックのテンプレートを編集へんしゅうする必要ひつようがあります）

なお、2.0.16 で、テンプレートキャッシュの処理しょりが大おおきく変かわったため、単たんにモジュールアップデートしただけでは、表示ひょうじ内容ないようが切きり替かわらないことがあります。（私わたし自身じしんは2.0.16のバグだと考かんがえています）

その場合ばあいは、templates_c フォルダ内ないのphpファイルをすべて削除さくじょしてみてください。

V3 では、クッキーへの保存ほぞん形式けいしきを若干じゃっかん変かえることで、安全あんぜん性せいが多少たしょうマシになりました。
期限きげん付つきでmd5エンコードされたパスワードしかクッキーに保存ほぞんしませんので、誰だれかがクッキーを盗ぬすんだとしても、その期限きげん以降いこうであればログインに成功せいこうしません。
つまり、オートログイン有効ゆうこう期限きげんが重要じゅうようなわけで、デフォルトの１週間しゅうかんを１ヶ月かげつや１年ねんに延長えんちょうすると、それだけ危険きけん性せいが増ますことに留意りゅういください。

オートログインV2で、リトライ機能きのうがつきました。従来じゅうらいのオートログインHackでは、CSRF対策たいさくのために、いきなりコンテンツにアクセスするとトップに飛とばされることが多おおくありましたが、今いまはいったんsession_confirm.phpにリダイレクトしてから、元もとの場所ばしょに戻もどります。

このsession_confirm.phpがV2で増ふえたファイルです。忘わすれずにアップロードしてください。

また、何なにか投稿とうこうした時ときにセッションが時間切じかんぎれで、投稿とうこう内容ないようをロストした、という経験けいけんをお持もちの方ほうも少すくなくないと思おもいますが、このオートログインV2を有効ゆうこうにしているユーザであれば、再度さいど自動じどうログインして、直後ちょくごに再さい投稿とうこうの機会きかいが与あたえられます。（V2の目玉めだま機能きのう）


このHackは、unameとmd5ハッシュ済ずみのパスワードをクッキーに保存ほぞんするのですが、その有効ゆうこう時間じかんは、デフォルトで１週間しゅうかん(604800)となっています。

もし、この値ねを変更へんこうしたい場合ばあいは、mainfile.php に対たいして下したのように１行ぎょう追加ついかして下ください。

この行くだりは少すくなくとも、include XOOPS_ROOT_PATH."/include/common.php"; と書かかれた行くだりより上うえにある必要ひつようがあります。


これは重要じゅうような注意ちゅうい点てんですが、クッキーにログイン情報じょうほうが残のこっているということは、当然とうぜん、誰だれかに盗ぬすまれる可能かのう性せいがあります。共用きょうようコンピュータなどをご利用りようの際さいには、必かならずログアウトしてから終了しゅうりょうするようにアナウンスする必要ひつようがあるでしょう。


2.0.6以降いこうのオートログインHackでは、CSRF対策たいさくのために、クエリのついたURLにいきなり自動じどうログインしてきた時ときには、ホームページに強制きょうせいリダイレクトします。ちょっと驚おどろくかも知しれませんが、そういうものだと理解りかいしてください。


それと、このアーカイブを上書うわがきすると、emailアドレスでもログインできるHackも自動的じどうてきに有効ゆうこうになります。
これだけ書かくと、RyujiさんのemailLoginHackと同おなじじゃないか、と思おもわれそうですが、あそこまできちんと作つくっていません。ユーザー名めいとして送おくられてきた文字もじ列れつに、@ が含ふくまれていれば、email によるログインだと推定すいていしてログインを試ためす、というだけのHackです。

逆ぎゃくに言いえば、その分ぶん、Hack箇所かしょも少すくなくて済すんでいます。基本きほん的てきには、include/checklogin.php だけの変更へんこうですので、コアバージョンへの追随ついずいも少すこしは楽らくになるかもしれません。

最近さいきんのショッピングサイトでは、会員かいいん番号ばんごうでもメールアドレスでも受うけ付つける、というものが増ふえてきているので、それなりに受入うけいれやすいHackではないでしょうか。


また、include/common.php などは、他たのHackとバッティングしやすいので、上書うわがきされると困こまるケースもあるでしょう。その場合ばあいは、このアーカイブの各かくファイルについて、'GIJ'という文字もじ列れつで検索けんさくすれば、Hack箇所かしょがどこか、すぐに判わかるはずです。

なお、本家ほんけ版ばん2.0.16以降いこうは、2.2/2.3からのバックポート(?)で、認証にんしょう方式ほうしきを選択せんたくできる、なんて機能きのうがついてますが、このHackをかけるとそれは自動的じどうてきにキャンセルされます。もし新しん認証にんしょう方式ほうしきを利用りようしたいのであれば、素直すなおに2.2/2.3系列けいれつを利用りようするべきだと私わたしは考かんがえています。


by GIJOE http://www.peak.ne.jp/xoops/