[DigitalPoint] Security & Passkeys 1.1.8

Если вы используете Days to auto-extend two-step device trust При настройке плагин всегда будет устанавливать файл cookie tfa_trust при расширении записи user_remember (поскольку мы не можем видеть продолжительность файла cookie на стороне сервера). Раньше мы устанавливали cookie только в том случае, если изменилось значение user_tfa_trusted.trusted_until.

Это заставит его работать так, как ожидалось, даже если у вас было что-то постороннее (например, другое дополнение), изменяющее значение user_tfa_trusted.trusted_until (где у вас был короткий срок действия файла cookie, но длинное значение user_tfa_trusted.trusted_until).

• Энтропия вызова изменена со 192 бит на 768 бит.
• Весь JavaScript был переписан как «родной» (не использует jQuery) в рамках подготовки к
  У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация
  .

Если вы не используете XenForo 2.3, вам не нужно обновляться (возможно неизмеримое увеличение скорости [подумайте о наносекундах] при запуске JavaScript, поскольку он больше не погружается в jQuery).

Я думаю, что это могло быть причиной пары случаев, когда недействительная запись пароля была сохранена в учетной записи пользователя. Ранее, если происходило исключение, он слепо принимал нулевую запись пароля в качестве нового пароля. Если бы все шло так, как ожидалось (в большинстве случаев), это не имело бы значения, но не всегда все идет так, как ожидалось.:)

• Добавлен класс dataList-row--noHover, поэтому цвет фона не меняется, когда мышь перемещается по таблице опций, которые есть у пользователя.
• Если при добавлении ключа доступа к учетной записи пользователя возникает исключение, сообщите пользователю об ошибке, что ключ доступа не может быть зарегистрирован, и запишите соответствующее сообщение об исключении в журнал ошибок XenForo (и, что наиболее важно, не сохраняйте неверную регистрацию ключа доступа как новый пароль)

• Проверка неполных записей при удалении ключа
• Новый расширенный параметр: количество дней для автоматического продления двуфакторного доступа (особенно полезно для предстоящего iOS PWA, см.
  У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация
  ) .
• Переформатируйте список двуфакторных опций, чтобы использовать значки для включения/отключения/управления действиями вместо стандартных кнопок XenForo с текстом (см. снимок экрана ниже).

Было:

Стало:

• Добавлена возможность просмотра и удаления сохраненных сессий в админке (новая вкладка Сеансы при редактировании пользователя)
• Исправлено предупреждение PHP при использовании PHP 8 и доступе к сайту через локальный хост (тестовая настройка).
• Устранена проблема, из-за которой некоторые (большинство) ключей безопасности не могли должным образом аутентифицироваться как вариант двухэтапной проверки.

Показывает пользователю улучшенные сообщения о ошибках

• Проверка версии PHP 7.1.0 или выше
• Убрана зависимость от сторонней библиотеки для получения списка стран для сессий и доверенных устройств.

Это ничего не меняет для пользователей, у которых он уже установлен. Чистое изменение заключается в том, что теперь вы можете использовать его с PHP 7.1+ (предыдущие требования были PHP 7.3+).

Добавляет возможность поощрять пользователей иметь более одного сильного двухэтапного варианта.

• Если у пользователя еще нет настроенных паролей, кнопка для управления ими помечена как «Включить», а не «Управление».
• Используйте более конкретный селектор при включении/отключении кнопки «Отправить» в форме WebAuthn.
• Новая опция: «Параметры» -> «Параметры пользователя» -> «Рекомендуемые сильные двухэтапные параметры» (по умолчанию 2).
• На двухшаговой странице пользователя будет отображаться уведомление о том, что у них недостаточно надежных двухэтапных опций, если у них меньше числа, установленного в параметрах (напоминание пользователям о том, что у них должно быть более одного хорошего двухэтапного опциона на случай, если они потеряют доступ к одному)

Если в учетной записи пользователя не настроены минимально рекомендуемые надежные двухэтапные параметры, его двухэтапная страница будет иметь уведомление вверху, например:

Это чисто семантическое обновление, которое переименовывается security key в словосочетание, Passkey при обращении к пользователю.

Ключ доступа — это новый термин, который Apple, Google и Microsoft будут использовать для обозначения того, что раньше называлось ключами безопасности или WebAuthn/FIDO2.

Этот термин также используется Yubikey для обозначения аппаратных ключей.

Это чисто косметическое изменение, которое перерабатывает то, как XenForo представляет пользователям варианты двухэтапной проверки.

Это меняет это:

на это: