PEAK XOOPS - auto-login hacked files for XOOPS 2.0.15 in englishin japanese






Main : XOOPS Hacks : 

Category: XOOPS Hacks           php5
Download Now! Download Now! auto-login hacked files for XOOPS 2.0.15 Popular Version: 2.0.15
Submitted Date:  2006/8/30
Description:
in englishin japanese

== AUTO-LOGIN V3 (REMEMBER ME) hacked files for XOOPS 2.0.15 ==

This package is only for 2.0.15 released from www.xoops.org. Don't apply it to 2.0.15JP or higher

------------------------------------------------------------------

Hacked core files to be able to login automatically (+ alpha).
This package is for XOOPS 2.0.15


USAGE:
1) Overwrite these files into your XOOPS 2.0.15
2) update system module. If you are using a custom template set you will need to edit the system_block_login.html for that set. (It is recommended to use tplsadmin module)
3) If you cannot find the "remember me" checkbox in the form for loggin-in, clear php files under template_c/

AUTO-LOGIN V3 is a little safer than V2.
V3 stores user's password as md5 encoded with time limitation.
If cookie is stolen by someone, he can't login after auto-login expiration.
This means that short expiration makes your site a little bit safer.

The feature of Retry or Repost is implemented with AUTO-LOGIN V2.

- You can access dynamic contents directly with autologin without CSRF vulnerablities.

- You can retry to post even if you are timed-out from the session.

These features are implemented in session_confirm.php.
Don't forget uploding this file.


If you want to set the life time of remembering, insert a line into mainfile.php like this:

define('XOOPS_AUTOLOGIN_LIFETIME',2678400);

This example specifies the life time as 1 month.
The default value is 604800 (= 1week).


This hack stores the password as an MD5 hash on the client, but this is vulnerable to dictionary attacks, and simple copying to another computer.

This hack is a potential security hole, don't enable it lightly.


HACKED POINTS:

You can easily find hacked points by searching the words 'GIJ'.


ABOUT + ALPHA:

This hack also modifies your XOOPS can be logged in by email.
Users can login not only uname+password but also email+password.
Of course, even the users logged in by email+password can login automatically on/after next access.

And this hack also disables "Authentication Factory" -the new feature of 2.0.15-.
If you want to use this feature, you'd better upgrade your XOOPS into 2.2/2.3


[xlang:ja]

●XOOPS 2.0.15用のオートログインハック(+α)済みコアファイルパック (V3)

これは本家版用です。2.0.15JP 用ではないので、注意してください!

--------------------------------------------------

XOOPS 2.0.15 に自動ログイン機能を付与するためのパッチです。
このアーカイブ内に含まれる全ファイルを、お使いのXOOPS 2.0.15 に上書きすることで、自動ログイン機能が有効になります。(実際には上書き後に、システムモジュールをアップデートするか、ログインブロックのテンプレートを編集する必要があります)

なお、2.0.15 では、テンプレートキャッシュの処理が大きく変わったため、単にモジュールアップデートしただけでは、表示内容が切り替わらないことがあります。(私自身は2.0.15のバグだと考えています)

その場合は、templates_c フォルダ内のphpファイルをすべて削除してみてください。

V3 では、クッキーへの保存形式を若干変えることで、安全性が多少マシになりました。
期限付きでmd5エンコードされたパスワードしかクッキーに保存しませんので、誰かがクッキーを盗んだとしても、その期限以降であればログインに成功しません。
つまり、オートログイン有効期限が重要なわけで、デフォルトの1週間を1ヶ月や1年に延長すると、それだけ危険性が増すことに留意ください。

オートログインV2で、リトライ機能がつきました。従来のオートログインHackでは、CSRF対策のために、いきなりコンテンツにアクセスするとトップに飛ばされることが多くありましたが、今はいったんsession_confirm.phpにリダイレクトしてから、元の場所に戻ります。

このsession_confirm.phpがV2で増えたファイルです。忘れずにアップロードしてください。

また、何か投稿した時にセッションが時間切れで、投稿内容をロストした、という経験をお持ちの方も少なくないと思いますが、このオートログインV2を有効にしているユーザであれば、再度自動ログインして、直後に再投稿の機会が与えられます。(V2の目玉機能)


このHackは、unameとmd5ハッシュ済のパスワードをクッキーに保存するのですが、その有効時間は、デフォルトで1週間(604800)となっています。

もし、この値を変更したい場合は、mainfile.php に対して下のように1行追加して下さい。

define('XOOPS_AUTOLOGIN_LIFETIME',2678400);

この行は少なくとも、include XOOPS_ROOT_PATH."/include/common.php"; と書かれた行より上にある必要があります。


これは重要な注意点ですが、クッキーにログイン情報が残っているということは、当然、誰かに盗まれる可能性があります。共用コンピュータなどをご利用の際には、必ずログアウトしてから終了するようにアナウンスする必要があるでしょう。


2.0.6以降のオートログインHackでは、CSRF対策のために、クエリのついたURLにいきなり自動ログインしてきた時には、ホームページに強制リダイレクトします。ちょっと驚くかも知れませんが、そういうものだと理解してください。


それと、このアーカイブを上書きすると、emailアドレスでもログインできるHackも自動的に有効になります。
これだけ書くと、RyujiさんのemailLoginHackと同じじゃないか、と思われそうですが、あそこまできちんと作っていません。ユーザー名として送られてきた文字列に、@ が含まれていれば、email によるログインだと推定してログインを試す、というだけのHackです。

逆に言えば、その分、Hack箇所も少なくて済んでいます。基本的には、include/checklogin.php だけの変更ですので、コアバージョンへの追随も少しは楽になるかもしれません。

最近のショッピングサイトでは、会員番号でもメールアドレスでも受け付ける、というものが増えてきているので、それなりに受入れやすいHackではないでしょうか。


また、include/common.php などは、他のHackとバッティングしやすいので、上書きされると困るケースもあるでしょう。その場合は、このアーカイブの各ファイルについて、'GIJ'という文字列で検索すれば、Hack箇所がどこか、すぐに判るはずです。

なお、本家版2.0.15には、2.2/2.3からのバックポート(?)で、認証方式を選択できる、なんて機能がついてますが、このHackをかけるとそれは自動的にキャンセルされます。もし新認証方式を利用したいのであれば、素直に2.2/2.3系列を利用するべきだと私は考えています。


by GIJOE http://www.peak.ne.jp/xoops/
[xlang:ja]

Downloaded 7965 times  7965  File Size 11.92 KB  Supported Platforms tar.gz|zip|php5  Home Page http://www.peak.ne.jp/xoops/
Modify | Report Broken File | Tell a Friend | Comments (1)


Comments list

GIJOE  Posted on 2006/11/22 4:46
Quote:
2.0.16が2.0.x系の最終版らしいです
情報ありがとうございます。
テンプレート関連にエンバグしたまま放置ですか

だったら、2.0.13.2 に Criteriaパッチだけを当てたものを、「真・最終版X2」とかして配布した方がいいかもしれませんね。
avtx30  Posted on 2006/11/22 0:04
早速のご提供どうもありがとうございました。すぐに使ってみます。

2.0.16が2.0.x系の最終版らしいです。

今後もよろしくお願い致します。
GIJOE  Posted on 2006/11/21 5:04
う〜ん…
本家の2.0.x系列(14以上)は、サポートを打ち切ろうかと思っているのですが…
まあ、大した作業ではないので、折りを見てやっつけておきます。
avtx30  Posted on 2006/11/18 10:08
本家 xoops 2.0.16 が出ました。2.0.16用のauto-loginをお待ちしております。:)
Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!