Manual:$wgSecretKey
| Segurança: $wgSecretKey | |
|---|---|
| Essa configuração deve ser sempre uma cadeia de caracteres secreta e única no arquivo LocalSettings.php. |
|
| Introduzida na versão: | 1.4.0 |
| Removida na versão: | Ainda em uso |
| Valores permitidos: | (cadeia de caracteres) |
| Valor padrão: | false |
| Outras definições: Ordem alfabética | Por função | |
Detalhes
Essa configuração deve ser sempre uma cadeia de caracteres secreta e única no arquivo LocalSettings.php.
O arquivo Installer.php define-a como uma cadeia de 64 caracteres aleatórios, gerados pela função MWCryptRand::generateHex( 64 );.
Na ocasião de nenhuma fonte de entropia melhor estar disponível para o MediaWiki, esse valor é utilizado como uma fonte de entropia criptográfica para gerar campos user_token. Esses campos são inseridos na tabela user, que os armazena como cookies persistentes para autenticação (definidos quando o usuário seleciona “Lembrar minhas credenciais neste navegador”), seguros contra spoofing.
Em versões modernas do PHP, as quais possuem acesso à funcionalidade /dev/urandom ou às funções de aleatoriedade das bibliotecas mcrypt e openssl, elas são utilizadas no lugar dessa variável durante a geração de tokens.
Entretanto, essa variável ainda é utilizada para outros propósitos e, por isso, deve sempre conter um valor aleatório e único, mesmo ao utilizarmos o PHP moderno.
 Atenção: | Se o valor dessa variável “vazar” para o público, você deve gerar uma nova chave secreta. |
$wgProxyKey
Entre as versões 1.3 e 1.4, a $wgProxyKey era a configuração documentada para esse propósito. Na 1.4, ela tornou-se depreciada, favorecendo a $wgSecretKey. Finalmente, na 1.24, a $wgProxyKey foi removida (sim, após quase 10 anos!).