关于自动登录 + 邮件欺骗的误解

误解1：它会因为垃圾回收器不会进行清理而严重影响服务器和数据库负载。我不能承担如此大的并发用户数。

实际情况：这不会对负载产生任何显著影响。对 xoops_session 表的查询将返回少量额外的字节，'谁在线' 块将流出更多的用户名。就是这样。Xoops 总是为任何新的会话创建一个记录（无论是匿名会话还是成员的）。因此，查询计数保持不变。我们在 '谁在线' 块中看到更真实的信息，并且成员可以愉快地浏览。我讨厌看到当我的会话过期时我在输入响应时出现 '无权限'（也许是时候打字更快了——哈哈）。

误解2：哦哦，这是安全的吗？我们不能妥协安全 B-）。

实际情况：这比在浏览器中存储用户名/密码要安全得多。是的，它比正常操作稍微少一点安全，但最终它确实与基于 cookie 的会话持久性具有相同的逻辑。唯一的区别是 - 服务器可以像往常一样释放资源，但你会有使用保存的 cookie 延长会话的虚假感觉。对于最终用户来说，这是透明的，因为服务器将在未经认证的情况下创建新的会话。

假设存在会话劫持的可能性，没有这个漏洞，你只能在当前的会话期间易受攻击。但使用这个漏洞，有效期延长至自动登录有效。大厂商如 gMail（两周）、Yahoo Mail（24小时）也使用类似的机制和类似的风险。

误解3：cookie 存储在用户的计算机上。我们失去了控制。

实际情况：网站管理员可以无效化所有（或某些）已保存的自动登录。清除 xoops_users 表中的 actkey 列，完成。那些保存的 cookie 现在成了垃圾。

误解4：你们太棒了，做出了惊人的事情。

实际情况：真正的功劳应归功于 Xoops 团队和 GIJOE，他们做得很好。我们只是在调整应用程序以满足我们的个人冲动和需求。有时，编节目值得在社区中分享。所以我们走上了这条船。

我希望，我能够得到更多的时间和机会来做出更大的贡献

您可以从这里获得它 http://xoops.biz/dist/

并在更多地方了解更多信息 https://xoops.org.cn/modules/newbb/viewtopic.php?viewmode=flat&topic_id=29338&forum=14

---

我不会提倡这种漏洞用于任何处理大量资金的临界网站。但现在我们中的许多人都有自己的临界网站，所以我认为这种漏洞对于大多数人来说是一个必备品。

我还请求Xoops核心团队考虑将其合并到主发行版中。理想情况下，可以使用一个网站参数（在xoops_config表中的条目或mainfile.php中）来启用和禁用此功能及其参数。

祝好,