PEAK XOOPS - auto-login hacked files for XOOPS 2.0.14JP

●XOOPS 2.0.14JP用ようのオートログインハック(+αあるふぁ)済ずみコアファイルパック (V3)

--------------------------------------------------

XOOPS 2.0.14JP
に自動じどうログイン機能きのうを付与ふよするためのパッチです。
このアーカイブ内ないに含ふくまれる全ぜんファイルを、お使つかいのXOOPS 2.0.14JP
に上書うわがきすることで、自動じどうログイン機能きのうが有効ゆうこうになります。

さらに、上書うわがき後ごのシステムモジュールアップデートで、「IDとパスワードを記憶きおく」というチェックボックスが表示ひょうじされます。なお、カスタムテンプレートセットを利用りようしている場合ばあいは、テンプレートマネージャに入はいり、ご利用りようのテンプレートセット内ないのシステム管理かんりのsystem_userform.htmlおよびsystem_block_login.htmlを削除さくじょする、または手作業てさぎょうでチェックボックスを追加ついかする必要ひつようがあります。

実際じっさいには、テンプレート管理かんりをちゃんと行おこなう意識いしきは重要じゅうようで、モジュールアップデートよりも、tplsadminを利用りようして、どのようなテンプレートの差分さぶんがあるかを理解りかいしながら、テンプレートを更新こうしんするのがベストです。

V3 では、クッキーへの保存ほぞん形式けいしきを若干じゃっかん変かえることで、安全あんぜん性せいが多少たしょうマシになりました。
期限きげん付つきでmd5エンコードされたパスワードしかクッキーに保存ほぞんしませんので、誰だれかがクッキーを盗ぬすんだとしても、その期限きげん以降いこうであればログインに成功せいこうしません。
つまり、オートログイン有効ゆうこう期限きげんが重要じゅうようなわけで、デフォルトの１週間しゅうかんを１ヶ月かげつや１年ねんに延長えんちょうすると、それだけ危険きけん性せいが増ますことに留意りゅういください。

オートログインV2で、リトライ機能きのうがつきました。従来じゅうらいのオートログインHackでは、CSRF対策たいさくのために、いきなりコンテンツにアクセスするとトップに飛とばされることが多おおくありましたが、今いまはいったんsession_confirm.phpにリダイレクトしてから、元もとの場所ばしょに戻もどります。

このsession_confirm.phpがV2で増ふえたファイルです。忘わすれずにアップロードしてください。

また、何なにか投稿とうこうした時ときにセッションが時間切じかんぎれで、投稿とうこう内容ないようをロストした、という経験けいけんをお持もちの方ほうも少すくなくないと思おもいますが、このオートログインV2を有効ゆうこうにしているユーザであれば、再度さいど自動じどうログインして、直後ちょくごに再さい投稿とうこうの機会きかいが与あたえられます。（V2の目玉めだま機能きのう）


このHackは、unameとmd5ハッシュ済ずみのパスワードをクッキーに保存ほぞんするのですが、その有効ゆうこう時間じかんは、デフォルトで１週間しゅうかん(604800)となっています。

もし、この値ねを変更へんこうしたい場合ばあいは、mainfile.php
に対たいして下したのように１行ぎょう追加ついかして下ください。

この行くだりは少すくなくとも、include XOOPS_ROOT_PATH."/include/common.php";
と書かかれた行くだりより上うえにある必要ひつようがあります。

また、言語げんごファイル (langage/japanese/global.php)
に手てを入いれている方ほうは、このファイルを上書うわがきするのではなく、ご自身じしんで書かき換かえてください。






これは重要じゅうような注意ちゅうい点てんですが、クッキーにログイン情報じょうほうが残のこっているということは、当然とうぜん、誰だれかに盗ぬすまれる可能かのう性せいがあります。共用きょうようコンピュータなどをご利用りようの際さいには、必かならずログアウトしてから終了しゅうりょうするようにアナウンスする必要ひつようがあるでしょう。


従前じゅうぜんの自動じどうログインHackでは、自動じどうログインの有効ゆうこう期限きげんとして、session_expireの値ねを流用りゅうようしていましたが、こうしてしまうと、カスタムセッション機能きのうが事実じじつ上じょう使つかえなくなってしまうため、XOOPS_AUTOLOGIN_LIFETIME
という定数ていすうで指定していする方式ほうしきに改あらためています。


それと、このアーカイブを上書うわがきすると、emailアドレスでもログインできるHackも自動的じどうてきに有効ゆうこうになります。
これだけ書かくと、RyujiさんのemailLoginHackと同おなじじゃないか、と思おもわれそうですが、あそこまできちんと作つくっていません。ユーザー名めいとして送おくられてきた文字もじ列れつに、@
が含ふくまれていれば、email
によるログインだと推定すいていしてログインを試ためす、というだけのHackです。

逆ぎゃくに言いえば、その分ぶん、Hack箇所かしょも少すくなくて済すんでいます。基本きほん的てきには、include/checklogin.php
だけの変更へんこうですので、コアバージョンへの追随ついずいも少すこしは楽らくになるかもしれません。

最近さいきんのショッピングサイトでは、会員かいいん番号ばんごうでもメールアドレスでも受うけ付つける、というものが増ふえてきているので、それなりに受入うけいれやすいHackではないでしょうか。


また、include/common.php
などは、他たのHackとバッティングしやすいので、上書うわがきされると困こまるケースもあるでしょう。その場合ばあいは、このアーカイブの各かくファイルについて、'GIJ'という文字もじ列れつで検索けんさくすれば、Hack箇所かしょがどこか、すぐに判わかるはずです。


by GIJOE http://www.peak.ne.jp/xoops/