Roundcubemail devel
blame | history | patch | commit | commitdiff | ignore whitespace
Aleksander Machniak
2015-09-08 f75bc5c24b126a1de7b0f9e92f4453b642ae7227 
 program/lib/Roundcube/rcube_session.php


@@ -43,9 +43,9 @@


    protected $gc_enabled   = 0;


    protected $gc_handlers  = array();


    protected $cookiename   = 'roundcube_sessauth';


    protected $secret       = '';


    protected $ip_check     = false;


    protected $logging      = false;






    /**


     * Blocks session data from being written to database.


@@ -86,9 +86,6 @@


    public function __construct($config)


    {


        $this->config = $config;




        // set secret


        $this->set_secret($this->config->get('des_key') . dirname($_SERVER['SCRIPT_NAME']));




        // set ip check


        $this->set_ip_check($this->config->get('ip_check'));


@@ -558,9 +555,19 @@


    /**


     * Setter for cookie encryption secret


     */


    function set_secret($secret)


    function set_secret($secret = null)


    {


        $this->secret = $secret;


        // generate random hash and store in session


        if (!$secret) {


            if (!empty($_SESSION['auth_secret'])) {


                $secret = $_SESSION['auth_secret'];


            }


            else {


                $secret = rcube_utils::random_bytes(strlen($this->key));


            }


        }




        $_SESSION['auth_secret'] = $secret;


    }




    /**


@@ -621,7 +628,7 @@


    /**


     * Set session authentication cookie


     */


    function set_auth_cookie()


    public function set_auth_cookie()


    {


        $this->cookie = $this->_mkcookie($this->now);


        rcube_utils::setcookie($this->cookiename, $this->cookie, 0);


@@ -629,8 +636,7 @@


    }




    /**


     * Create session cookie from session data.


     * The cookie will be hashed using a method defined by session.hash_function.


     * Create session cookie for specified time slot.


     *


     * @param int Time slot to use


     *


@@ -638,57 +644,11 @@


     */


    protected function _mkcookie($timeslot)


    {


        $auth_string = "$this->key,$this->secret,$timeslot";


        $hash_method = (string) ini_get('session.hash_function');


        $hash_nbits  = (int) ini_get('session.hash_bits_per_character');


        // make sure the secret key exists


        $this->set_secret();




        if (!$hash_method) {


            $hash_method = 'md5';


        }


        else if ($hash_method === '1') {


            $hash_method = 'sha1';


        }




        if ($hash_nbits < 4 || $hash_nbits > 6) {


            $hash_nbits = 4;


        }




        // Hash the authentication string


        $hash = openssl_digest($auth_string, $hash_method, true);




        // Above method returns "hexits". To be really compatible


        // with session hashes generated by PHP core we'll get


        // a raw (binary) hash and convert it to a readable form


        // as in bin_to_readable() function in ext/session/session.c.


        $hextab = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,-";


        $length = strlen($hash);


        $result = '';


        $char   = 0;


        $i      = 0;


        $have   = 0;


        $mask   = (1 << $hash_nbits) - 1;




        while (true) {


            if ($have < $hash_nbits) {


                if ($i < $length) {


                    $char |= ord($hash[$i++]) << $have;


                    $have += 8;


                }


                else if (!$have) {


                    break;


                }


                else {


                    $have = $hash_nbits;


                }


            }




            // consume nbits


            $result .= $hextab[$char & $mask];


            $char >>= $hash_nbits;


            $have -= $hash_nbits;


        }




        return $result;


        // no need to hash this, it's just a random string


        return $_SESSION['auth_secret'] . '-' . $timeslot;


    }




    /**