PEAK XOOPS - auto-login hacked files for XOOPS 2.0.6 in englishin japanese

Main : XOOPS Hacks : 

Category: XOOPS Hacks          
Download Now! auto-login hacked files for XOOPS 2.0.6 Popular Version: 2.0.6
Submitted Date:  2004/4/28
Hacked core files to be able to login automatically.
This package is only for XOOPS 2.0.6.

1) Overwrite these files into your XOOPS 2.0.6
2) update system module. If you are using a custom template set you will need to edit the system_block_login.html for that set.

This hack is not compatible to custom user sessions.
You have to turn "Use custom session" off in admin/preferences/general.
But you have to set the cookie time in admin/preferences/general settings to the number of minutes the cookie will be stored, i.e. "10080" minutes for one week.

This hack stores the password as an MD5 hash on the client, but this is vulnerable to dictionary attacks, and simple copying to another computer.

This hack is a potential security hole, don't enable it lightly.

Onokazu took the auto-login hack which GIJOE had released, into XOOPS core with comment-outed.

My hacked files are removed '//' and fixed two problems in older hack:

A) The cookie's path is root (='/'). This cause a collision of the cookies from two Xoops sites running on the same hostname.

B) This hack weakens XOOPS from CSRF attack. (Some modules are defenseless from CSRF. They delete or update its records by GET methods easily.)

To prevents from CSRF, my autologin codes force redirection to XOOPS_URL when query is not null.

If you dislike such a redirection, do comment out like this:

line 164 in include/common.php

// redirect to Root when query string exists (anti-CSRF)
//if( ! empty( $HTTP_SERVER_VARS['QUERY_STRING'] ) ) {
// redirect_header( XOOPS_URL , 0 , 'Now, logging in automatically' ) ;
// exit ;


2004-4-28 updated anti-CSRF codes

(For Japanese)

●XOOPS 2.0.6 用のオートログインハック済みコアファイルパック

XOOPS 2.0.6 に自動ログイン機能を付与するためのパッチです。
このアーカイブ内に含まれる全ファイルを、お使いのXOOPS 2.0.6に上書きすることで、自動ログイン機能が有効になります。(実際には上書き後に、システムモジュールをアップデートするか、ログインブロックのテンプレートを編集する必要があります)





2.0.6RC までのPatchでは、最終ログイン日時を強制的に更新するコードも追加していましたが、2.0.6にてその機能が有効にならない原因だったtypoが修正されたため、そのコードも削除しました。




この動作がどうしても嫌な場合は、include/common.php の 164行目からの数行を以下のようにコメントアウトして下さい。

// redirect to Root when query string exists (anti-CSRF)
//if( ! empty( $HTTP_SERVER_VARS['QUERY_STRING'] ) ) {
// redirect_header( XOOPS_URL , 0 , 'Now, logging in automatically' ) ;
// exit ;


2004-4-28 CSRF対策が不十分だったのを改良 (include/common.php)

Downloaded 6653 times  6653  File Size 13.96 KB  Supported Platforms tar.gz  Home Page
Modify | Report Broken File | Tell a Friend | Comments (0)

Comments list

Username or e-mail:


Remember Me

Lost Password?

Register now!