PEAK XOOPS - auto-login hacked files for XOOPS 2.0.10/11/12/13.x in englishin japanese






Main : XOOPS Hacks : 

Category: XOOPS Hacks           php5
Download Now! Download Now! auto-login hacked files for XOOPS 2.0.10/11/12/13.x Popular Version: 2.0.13.2
Submitted Date:  2005/7/31
Description:
in englishin japanese

●XOOPS 2.0.10/11/12/13用のオートログインハック(+α)済みコアファイルパック (V3)

これは本家版用です。2.0.*JP 用ではないので、注意してください!

--------------------------------------------------

XOOPS 2.0.10/11/12/13 に自動ログイン機能を付与するためのパッチです。
このアーカイブ内に含まれる全ファイルを、お使いのXOOPS 2.0.10/11/12/13 に上書きすることで、自動ログイン機能が有効になります。(実際には上書き後に、システムモジュールをアップデートするか、ログインブロックのテンプレートを編集する必要があります)

V3 では、クッキーへの保存形式を若干変えることで、安全性が多少マシになりました。
期限付きでmd5エンコードされたパスワードしかクッキーに保存しませんので、誰かがクッキーを盗んだとしても、その期限以降であればログインに成功しません。
つまり、オートログイン有効期限が重要なわけで、デフォルトの1週間を1ヶ月や1年に延長すると、それだけ危険性が増すことに留意ください。

オートログインV2で、リトライ機能がつきました。従来のオートログインHackでは、CSRF対策のために、いきなりコンテンツにアクセスするとトップに飛ばされることが多くありましたが、今はいったんsession_confirm.phpにリダイレクトしてから、元の場所に戻ります。

このsession_confirm.phpがV2で増えたファイルです。忘れずにアップロードしてください。

また、何か投稿した時にセッションが時間切れで、投稿内容をロストした、という経験をお持ちの方も少なくないと思いますが、このオートログインV2を有効にしているユーザであれば、再度自動ログインして、直後に再投稿の機会が与えられます。(V2の目玉機能)


このHackは、unameとmd5ハッシュ済のパスワードをクッキーに保存するのですが、その有効時間は、デフォルトで1週間(604800)となっています。

もし、この値を変更したい場合は、mainfile.php に対して下のように1行追加して下さい。

define('XOOPS_AUTOLOGIN_LIFETIME',2678400);

この行は少なくとも、include XOOPS_ROOT_PATH."/include/common.php"; と書かれた行より上にある必要があります。

また、言語ファイル (langage/japanese/global.php) に手を入れている方は、このファイルを上書きするのではなく、ご自身で書き換えてください。


define('_USERNAME','ユーザID または e-mail: '); // 書き換え



define('_REMEMBERME','IDとパスワードを記憶'); // 追加
define('_RETRYPOST','時間切れでした。再投稿しますか?'); // 追加



これは重要な注意点ですが、クッキーにログイン情報が残っているということは、当然、誰かに盗まれる可能性があります。共用コンピュータなどをご利用の際には、必ずログアウトしてから終了するようにアナウンスする必要があるでしょう。


実は、2.0.4以降、onokazuさんが私の自動ログインHackをコメントアウトした状態で取り込んでくれているのですが、このコードはあまり推奨できません。その理由は、クッキーの衝突とCSRF攻撃への耐性です。

2.0.6以降のオートログインHackでは、CSRF対策のために、クエリのついたURLにいきなり自動ログインしてきた時には、ホームページに強制リダイレクトします。ちょっと驚くかも知れませんが、そういうものだと理解してください。

また、従前の自動ログインHackでは、自動ログインの有効期限として、session_expireの値を流用していましたが、こうしてしまうと、カスタムセッション機能が事実上使えなくなってしまうため、XOOPS_AUTOLOGIN_LIFETIME という定数で指定する方式に改めました。


それと、このアーカイブを上書きすると、emailアドレスでもログインできるHackも自動的に有効になります。
これだけ書くと、RyujiさんのemailLoginHackと同じじゃないか、と思われそうですが、あそこまできちんと作っていません。ユーザー名として送られてきた文字列に、@ が含まれていれば、email によるログインだと推定してログインを試す、というだけのHackです。

逆に言えば、その分、Hack箇所も少なくて済んでいます。基本的には、include/checklogin.php だけの変更ですので、コアバージョンへの追随も少しは楽になるかもしれません。

最近のショッピングサイトでは、会員番号でもメールアドレスでも受け付ける、というものが増えてきているので、それなりに受入れやすいHackではないでしょうか。


また、include/common.php などは、他のHackとバッティングしやすいので、上書きされると困るケースもあるでしょう。その場合は、このアーカイブの各ファイルについて、'GIJ'という文字列で検索すれば、Hack箇所がどこか、すぐに判るはずです。


by GIJOE http://www.peak.ne.jp/xoops/

Downloaded 21267 times  21267  File Size 16.14 KB  Supported Platforms tar.gz|zip|php5  Home Page http://www.peak.ne.jp/xoops/
Modify | Report Broken File | Tell a Friend | Comments (4)


Comments list

hademe  Posted on 2006/9/17 8:31
i found problem.. i chanced common.php because i added to my site and i had to change common.php. so now can you say me ?

in a normal comman.php where have to i your cahenged kod for outo login add?

so ı can ad manuel and i solve problem..

thankss
hademe  Posted on 2006/9/17 7:52 | Last modified
i use 2.13.2 core or not core i dont know. ı downloded from xoops.org

if not core is it not possible? or is there a hack for 2.13.2??

i just want my user haven't login everytime..i want they loin once and if they dont click logout my site known them in the next time. (maybe not neserry for me i mean for admin but for user it is neserary) thenks
GIJOE  Posted on 2006/9/16 5:54
Check them
- version of core and version of hack
- overwrite all files successfully(especially include/common.php)

You should know there are two confusing versions of xoops core.

- 2.0.x from xoops.org
- 2.0.x-JP from xoopscube.org
bliss  Posted on 2006/9/15 8:04
I have problem too.
Please help.
hademe  Posted on 2006/9/15 5:16
i lo in my site checked remember me. i close site. after 15 minites i go in my site. my nicname seems in who is online blocks. but i am not log in.. wyh can be?? thanks advandced help..
cxjon  Posted on 2005/7/14 5:39
will this work for 2.0.11?
GIJOE  Posted on 2005/6/15 19:05
hi domifara.

Thank you for reporting!
I've just modified the archive.
domifara  Posted on 2005/6/15 18:34
typo is
language/japanese/global.php
line 117

in
Submitted Date: 2005/4/24

autologin_for_xoops2.0.10.tar.gz
or
autologin_for_xoops2.0.10.zip

1define('_FAILSAVEIMG', '画像ファイル %s をデータベースに格納できませんでした。');

to

define('_FAILSAVEIMG', '画像ファイル %s をデータベースに格納できませんでした。');


The blank page is displayed.

1 ってついてるだけですが、見た目症状として致命的で、構文error で止まり真っ白になります。
Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!