[DigitalPoint] Security 1.2.0

!!! ОЧЕНЬ ВАЖНО !!!
Если вы обновите эту версию, ключи доступа, установленные в предыдущих версиях этого дополнения, будут удалены. Прочтите это еще раз, если не прочитали полностью.

Существующие ключи доступа из этого дополнения НЕ МОГУТ быть перенесены в собственные ключи доступа XenForo 2.3 (XF 2.3 использует резидентные ключи, что позволяет использовать такие вещи, как вход в систему без пароля, поэтому нет пути обновления), а существующие ключи доступа, созданные предыдущими версиями этого дополнения, будут удалены.

Опять же... существующие ключи доступа, которые пользователи установили для себя, будут удалены. Прочтите все это еще раз.

Если вы используете Days to auto-extend two-step device trust При настройке плагин всегда будет устанавливать файл cookie tfa_trust при расширении записи user_remember (поскольку мы не можем видеть продолжительность файла cookie на стороне сервера). Раньше мы устанавливали cookie только в том случае, если изменилось значение user_tfa_trusted.trusted_until.

Это заставит его работать так, как ожидалось, даже если у вас было что-то постороннее (например, другое дополнение), изменяющее значение user_tfa_trusted.trusted_until (где у вас был короткий срок действия файла cookie, но длинное значение user_tfa_trusted.trusted_until).

• Энтропия вызова изменена со 192 бит на 768 бит.
• Весь JavaScript был переписан как «родной» (не использует jQuery) в рамках подготовки к
  У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация
  .

Если вы не используете XenForo 2.3, вам не нужно обновляться (возможно неизмеримое увеличение скорости [подумайте о наносекундах] при запуске JavaScript, поскольку он больше не погружается в jQuery).

Я думаю, что это могло быть причиной пары случаев, когда недействительная запись пароля была сохранена в учетной записи пользователя. Ранее, если происходило исключение, он слепо принимал нулевую запись пароля в качестве нового пароля. Если бы все шло так, как ожидалось (в большинстве случаев), это не имело бы значения, но не всегда все идет так, как ожидалось.:)

• Добавлен класс dataList-row--noHover, поэтому цвет фона не меняется, когда мышь перемещается по таблице опций, которые есть у пользователя.
• Если при добавлении ключа доступа к учетной записи пользователя возникает исключение, сообщите пользователю об ошибке, что ключ доступа не может быть зарегистрирован, и запишите соответствующее сообщение об исключении в журнал ошибок XenForo (и, что наиболее важно, не сохраняйте неверную регистрацию ключа доступа как новый пароль)

• Проверка неполных записей при удалении ключа
• Новый расширенный параметр: количество дней для автоматического продления двуфакторного доступа (особенно полезно для предстоящего iOS PWA, см.
  У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация
  ) .
• Переформатируйте список двуфакторных опций, чтобы использовать значки для включения/отключения/управления действиями вместо стандартных кнопок XenForo с текстом (см. снимок экрана ниже).

Было:

Стало:

• Добавлена возможность просмотра и удаления сохраненных сессий в админке (новая вкладка Сеансы при редактировании пользователя)
• Исправлено предупреждение PHP при использовании PHP 8 и доступе к сайту через локальный хост (тестовая настройка).
• Устранена проблема, из-за которой некоторые (большинство) ключей безопасности не могли должным образом аутентифицироваться как вариант двухэтапной проверки.

Показывает пользователю улучшенные сообщения о ошибках

• Проверка версии PHP 7.1.0 или выше
• Убрана зависимость от сторонней библиотеки для получения списка стран для сессий и доверенных устройств.

Это ничего не меняет для пользователей, у которых он уже установлен. Чистое изменение заключается в том, что теперь вы можете использовать его с PHP 7.1+ (предыдущие требования были PHP 7.3+).

Добавляет возможность поощрять пользователей иметь более одного сильного двухэтапного варианта.

• Если у пользователя еще нет настроенных паролей, кнопка для управления ими помечена как «Включить», а не «Управление».
• Используйте более конкретный селектор при включении/отключении кнопки «Отправить» в форме WebAuthn.
• Новая опция: «Параметры» -> «Параметры пользователя» -> «Рекомендуемые сильные двухэтапные параметры» (по умолчанию 2).
• На двухшаговой странице пользователя будет отображаться уведомление о том, что у них недостаточно надежных двухэтапных опций, если у них меньше числа, установленного в параметрах (напоминание пользователям о том, что у них должно быть более одного хорошего двухэтапного опциона на случай, если они потеряют доступ к одному)

Если в учетной записи пользователя не настроены минимально рекомендуемые надежные двухэтапные параметры, его двухэтапная страница будет иметь уведомление вверху, например:

Это чисто семантическое обновление, которое переименовывается security key в словосочетание, Passkey при обращении к пользователю.

Ключ доступа — это новый термин, который Apple, Google и Microsoft будут использовать для обозначения того, что раньше называлось ключами безопасности или WebAuthn/FIDO2.

Этот термин также используется Yubikey для обозначения аппаратных ключей.