问取消Mediawiki登录以防止会话劫持

EN

我终于找到了我的问题所在。默认情况下，MediaWiki以设置安全标志的方式传递<wikiname>_session cookie。取自OWASP

安全标志是应用服务器在HTTP响应中向用户发送新cookie时可以设置的选项。安全标志的目的是防止cookie被未经授权的各方观察，因为cookie是以明文形式传输的。 为了实现这一目标，支持安全标志的浏览器只在请求进入HTTPS页面时才会发送带有安全标志的cookie。换句话说，浏览器不会通过未加密的HTTP请求发送带有安全标志的cookie。

因此，我的MediaWiki安装正确地创建和缓存了一个会话令牌，它甚至仍然通过响应头传递它。但是，由于我的浏览器看到的是http而不是https，所以这就是令牌所能得到的。简单地忽略Set-Cookie行。

php.ini中有一个名为session.cookie_secure的设置，但MediaWiki忽略此标志。

相反，解决方案是将这一行添加到我的localSettings.php文件的底部：

$wgCookieSecure = false;

当sessionId被按顺序更新时，我在不同的应用程序上也发生了类似的事情。

因此，通常您请求一个登录表单，它使用一个sessionId创建一个会话，并将其存储在某个地方。

然后提交表单，它绑定到原始sessionId，检查身份验证，或者在原始会话中登录，或者创建一个新会话，并更新您的表单(通常使用网络日志中可以看到的HTTPSet-Cookie命令)。

但是您可以跟踪一切，方法是查看当前cookie中的sessionId和表单上的任何令牌(以防止重放)，并对照/tmp/php-会话-xxx文件(可能在/var/lib/php中)或它存储会话的任何数据库检查它。

让我意识到问题的是，当我准备提交一份带有特定会话I的表单时，这个会话I已不再有效。因此，我没有通过重播检查，并且得到了一个类似于您的错误。在我的例子中，这与数据库的复制方式不匹配，所以我可以尝试访问一个尚未创建的会话。

查看您的所有代码，sessionIds不匹配。wpTokenLogin从510a85开始，但是SetCookie中的wiki会话从n7gs0c开始，在日志中讨论6ov933.因此，假设您是从不同的尝试中复制/粘贴的，您需要自己从一个干净的状态运行它，并检查所有的内容看起来都是在使用相同的会话。如果不是，试着找出您拥有的会话发生了什么(如果它已经创建/更改)，或者为什么您没有得到正确的会话，如果它是创建的，但从未正确地传递给您。

尽管如此，我只是看看登录到我们自己内部版本的mediawiki的客户端，而wpLoginToken、wikidb_session和JSESSIONID也不匹配(尽管我希望它们中的一个出现在wiki日志中，我也无法访问)。

如果有必要，请使用grep作为您正在查找的错误消息的源，并插入error_log(__FILE__.':'.__LINE__.' '.var_export(debug_backtrace(DEBUG_BACKTRACE_IGNORE_ARGS), true));以查找堆栈中的工作，查看哪些内容不匹配，以生成错误。

这是MediaWiki一直存在的问题，这是由于您的密码输入错误，或者MediaWiki在登录过程(数据库、cookie、磁盘文件等)中没有编写 This (数据库、cookie、磁盘文件等)。在我的例子中，我使用$wgReadOnly变量来实现wiki的只读。我发现我必须使用$wgMainCacheType = CACHE_MEMCACHED才能使我的系统正常工作。

请参阅：https://www.mediawiki.org/wiki/Manual:Memcached