PEAK XOOPS - auto-login hacked files for XOOPS 2.0.10/11/12/13.x

●XOOPS 2.0.10/11/12/13用ようのオートログインハック(+αあるふぁ)済ずみコアファイルパック (V3)

これは本家ほんけ版ばん用ようです。2.0.*JP 用ようではないので、注意ちゅういしてください！

--------------------------------------------------

XOOPS 2.0.10/11/12/13 に自動じどうログイン機能きのうを付与ふよするためのパッチです。
このアーカイブ内ないに含ふくまれる全ぜんファイルを、お使つかいのXOOPS 2.0.10/11/12/13 に上書うわがきすることで、自動じどうログイン機能きのうが有効ゆうこうになります。（実際じっさいには上書うわがき後ごに、システムモジュールをアップデートするか、ログインブロックのテンプレートを編集へんしゅうする必要ひつようがあります）

V3 では、クッキーへの保存ほぞん形式けいしきを若干じゃっかん変かえることで、安全あんぜん性せいが多少たしょうマシになりました。
期限きげん付つきでmd5エンコードされたパスワードしかクッキーに保存ほぞんしませんので、誰だれかがクッキーを盗ぬすんだとしても、その期限きげん以降いこうであればログインに成功せいこうしません。
つまり、オートログイン有効ゆうこう期限きげんが重要じゅうようなわけで、デフォルトの１週間しゅうかんを１ヶ月かげつや１年ねんに延長えんちょうすると、それだけ危険きけん性せいが増ますことに留意りゅういください。

オートログインV2で、リトライ機能きのうがつきました。従来じゅうらいのオートログインHackでは、CSRF対策たいさくのために、いきなりコンテンツにアクセスするとトップに飛とばされることが多おおくありましたが、今いまはいったんsession_confirm.phpにリダイレクトしてから、元もとの場所ばしょに戻もどります。

このsession_confirm.phpがV2で増ふえたファイルです。忘わすれずにアップロードしてください。

また、何なにか投稿とうこうした時ときにセッションが時間切じかんぎれで、投稿とうこう内容ないようをロストした、という経験けいけんをお持もちの方ほうも少すくなくないと思おもいますが、このオートログインV2を有効ゆうこうにしているユーザであれば、再度さいど自動じどうログインして、直後ちょくごに再さい投稿とうこうの機会きかいが与あたえられます。（V2の目玉めだま機能きのう）


このHackは、unameとmd5ハッシュ済ずみのパスワードをクッキーに保存ほぞんするのですが、その有効ゆうこう時間じかんは、デフォルトで１週間しゅうかん(604800)となっています。

もし、この値ねを変更へんこうしたい場合ばあいは、mainfile.php に対たいして下したのように１行ぎょう追加ついかして下ください。

この行くだりは少すくなくとも、include XOOPS_ROOT_PATH."/include/common.php"; と書かかれた行くだりより上うえにある必要ひつようがあります。

また、言語げんごファイル (langage/japanese/global.php) に手てを入いれている方ほうは、このファイルを上書うわがきするのではなく、ご自身じしんで書かき換かえてください。






これは重要じゅうような注意ちゅうい点てんですが、クッキーにログイン情報じょうほうが残のこっているということは、当然とうぜん、誰だれかに盗ぬすまれる可能かのう性せいがあります。共用きょうようコンピュータなどをご利用りようの際さいには、必かならずログアウトしてから終了しゅうりょうするようにアナウンスする必要ひつようがあるでしょう。


実じつは、2.0.4以降いこう、onokazuさんが私わたしの自動じどうログインHackをコメントアウトした状態じょうたいで取とり込こんでくれているのですが、このコードはあまり推奨すいしょうできません。その理由りゆうは、クッキーの衝突しょうとつとCSRF攻撃こうげきへの耐たい性せいです。

2.0.6以降いこうのオートログインHackでは、CSRF対策たいさくのために、クエリのついたURLにいきなり自動じどうログインしてきた時ときには、ホームページに強制きょうせいリダイレクトします。ちょっと驚おどろくかも知しれませんが、そういうものだと理解りかいしてください。

また、従前じゅうぜんの自動じどうログインHackでは、自動じどうログインの有効ゆうこう期限きげんとして、session_expireの値ねを流用りゅうようしていましたが、こうしてしまうと、カスタムセッション機能きのうが事実じじつ上じょう使つかえなくなってしまうため、XOOPS_AUTOLOGIN_LIFETIME という定数ていすうで指定していする方式ほうしきに改あらためました。


それと、このアーカイブを上書うわがきすると、emailアドレスでもログインできるHackも自動的じどうてきに有効ゆうこうになります。
これだけ書かくと、RyujiさんのemailLoginHackと同おなじじゃないか、と思おもわれそうですが、あそこまできちんと作つくっていません。ユーザー名めいとして送おくられてきた文字もじ列れつに、@ が含ふくまれていれば、email によるログインだと推定すいていしてログインを試ためす、というだけのHackです。

逆ぎゃくに言いえば、その分ぶん、Hack箇所かしょも少すくなくて済すんでいます。基本きほん的てきには、include/checklogin.php だけの変更へんこうですので、コアバージョンへの追随ついずいも少すこしは楽らくになるかもしれません。

最近さいきんのショッピングサイトでは、会員かいいん番号ばんごうでもメールアドレスでも受うけ付つける、というものが増ふえてきているので、それなりに受入うけいれやすいHackではないでしょうか。


また、include/common.php などは、他たのHackとバッティングしやすいので、上書うわがきされると困こまるケースもあるでしょう。その場合ばあいは、このアーカイブの各かくファイルについて、'GIJ'という文字もじ列れつで検索けんさくすれば、Hack箇所かしょがどこか、すぐに判わかるはずです。


by GIJOE http://www.peak.ne.jp/xoops/