Вопрос по member_login_key

[Song]

Вот вопрос возник. Не часто я тут создаю топики но всё же

 

В сорсах (Login.php) вижу вот такую вещь:

		//-----------------------------------------
	// Generate a new log in key
	//-----------------------------------------

	if ( $this->ipsclass->vars['login_change_key'] OR ! $member['member_login_key'] )
	{

 

Не обращайте внимания что сорс от 2.1 Это не так важно.

Собственно вопрос. А ставится по дефолту установочка login_change_key или экстра чрезмерная подстраховка?

Вель если member_login_key при каждом заходе формируется заново, то по идее куки перестанут запоминаться на другом компе?

Например, залогинились дома. У нас мембер_логин_кей = 1

всё хорошо, форум пускает

приходим на работу, у нас вылетает гостевая сессия, "не беда" говорим мы себе и снова вводим пароль, на сей раз для мембера запоминается кей = 2

и опять всё хорошо.

Но когда мы приходим домой, комп опять нас не вспоминает! Потому что в базе уже двоечка. Отсюда недовольство юзеров, потому что им постоянно нужно вводить пароль.

 

Короче, 2ALL, как решаете этот вопрос вы, отключаете постоянную регенерацию member_login_key?

[Garret]

А ставится по дефолту установочка login_change_key или экстра чрезмерная подстраховка?

Вот этого я не понял???

 

На знаю как в 2.1.х но в 2.0.х это поле просто хранит генерируемый ключ для авторизации.

[Song]

>> Вот этого я не понял???

Ну видишь

$this->ipsclass->vars['login_change_key']

это значит, что генерация логин_кей при входе в форум может включаться/выключаться.

 

>> На знаю как в 2.1.х но в 2.0.х это поле просто хранит генерируемый ключ для авторизации.

Ну я знаю. Вопрос не в этом.

[Garret]

это значит, что генерация логин_кей при входе в форум может включаться/выключаться.

В 2.0.х нет такой проверки, просто if (! $member['member_login_key'])

 

Скорее всего эта проверка какой то ляп.

 

Короче, 2ALL, как решаете этот вопрос вы, отключаете постоянную регенерацию member_login_key?

Честно говоря я даже не знал что он перегенеривается

[Song]

В 2.0.х нет такой проверки, просто if (! $member['member_login_key'])

ну как же нет!

Вот она:

		//-----------------------------------------
	// No member log in key?
	//-----------------------------------------

	if ( ! $member['member_login_key'] )
	{
		$member['member_login_key'] = $ibforums->converge->generate_auto_log_in_key();

		$DB->do_update( 'members', array( 'member_login_key' => $member['member_login_key'] ), 'id='.$member['id'] );
	}

Только в 2.0.х он регенерится только если пуст, т.е. если его очистили:

Ок, значит вопрос автоматически переходит к пользователям 2.1.х

[Garret]

Ага, понял. Только в каком случае он очищается?

[Song]

Ну так сделай поиск по исходникам по 'member_login_key'

 

------

 

не нашёл кстати.

Видимо не очищается и этот кусок срабатывает для новых юзеров (?)

 

а в 2.1.х как видишь можно выбрать "агрессивную" безопасность.

[LE_TALLEC]

а чем плохо задать определенное время жизни кукис на сервере?..

 

да и вообще странно както..

 

у меня на компе стоит три сети.зашел по первому ипу хорошо - пускает.дальше иду по второму ипу,залогиниваюсь - тоже хорошо,пускает.и по третьему тоже самое..

Изменено 29 Сентября 2006 пользователем LE_TALLEC

[Song]

А при чём тут ИП?

Разговор про куки. По моим рассчётам если генерить новый логин_кей при каждом заходе на форум по паролю, то будет такой глюк, который я описал в первом посте.

 

Почему я спрашиваю.

Я переписал для 1.х подобную систему безопасности и у меня имеет место быть такая неприятная ситуация, когда куки не вспоминаются на работе или дома по переменно. Вот я и создал тему спросить как решают этот вопрос обладатели 2.1.х

Или возможно я что-то не учёл. Вот и интересуюсь.

Кстати сейчас заглянул в сорсы 2.1, как оказалось я написал свой мод также как Matt

Причём ни разу не заглядывая. Во как мысли сходятся.

Но впрочем примерно тоже самое я тогда прослеживал с мульти-аттачем. Когда я заглянул в БД форума 2.1 то увидел ту же самую структуру, что я придумал

[Garret]

Вот я и создал тему спросить как решают этот вопрос обладатели 2.1.х

Обладатели наверно даже не догадываются о такой возможности Поэтому ответа будешь долго ждать. Как по мне это небольшая неафишируемая фишка. Код вообще генерируется один раз(как и в 2.0,x), а потом пишется в куки и на работе и дома, таким образом с автологином нет проблем.

[Song]

как она неофишируемая, если настройка в conf_global есть. А раз там есть, в большинстве случаев это означает, что есть в админке.

Ну в принципе может никто её там и не замечал, админка-то у 2.1 бездонная =)

[Denny]

Ну в принципе может никто её там и не замечал, админка-то у 2.1 бездонная =)

Дык, всё очень просто и хоть админка 2.1 бездонная, но в настройках есть раздел "Безопасность" и такой пунктик - "Сбрасывать ключ авторизации пользователей при каждом входе?" Если 'Да', каждая успешная авторизация пользователя на форуме будет сбрасывать его ключ авторизации, который использует cookies. Это сделает невозможным войти под одним именем пользователя более, чем с одного компьютера.

[Song]

Всё ясно

Спасибо Denny. Видимо вы тут единственный компетентный