cotonti.com : Слет авторизации

Boss

Wed, 24 Jun 2009 00:13:21 -0000

C точки зрения программиста все отлично. Защита это хорошо. Но с точки зрения простых юзеров - это не есть хорошо. Конечно зависит от аудитории сайта. Но на большинстве сайтов бывают далеко не спецы и им лишний раз авторизоваться будет влом. Один раз авторизуются, другой, а на третий скажут - ну нафиг.

Одна интересная мысль... Авторизация зачем чаще всего нужна? Чаще чтобы писать в форуме и оставлять комментарии. Так почему бы поля ввода логина и пароля не выводить прямо в форме отправки сообщений. Авторизован или нет - пофигу. Ввел свой логин и пароль и отправил сообщение/комментарий. Учитывая, что данные поля у большинства заполняются браузером, напряга меньше, чем если авторизоваться предварительно перед отправкой через отдельную форму. Но форуме ixbt так сделано. http://forum.ixbt.com/topic.cgi?id=13:36206-26

>Будут Оливье переводит Сед на UTF-8.
Так SED еще будет развиваться?

Trustmaster

Tue, 23 Jun 2009 21:18:59 -0000

Будут Оливье переводит Сед на UTF-8.

Авторизация сразу в нескольких браузерах отрублена преднамеренно - от XSS и CSRF подальше. То же и про привязку к IP. Блажь параноидальная, конечно. Но это до первого серьёзного взлома. Так что думайте сами, что дороже.

Sergey

Tue, 23 Jun 2009 14:35:28 -0000

Я уже как-то раз писал об этом. Повторюсь. Я отлаживаю свой новый проект на двух компах. На обоих все идентично, но..в джентельменском наборе для ИЕ слет авторизации всегда. Для wamp слета авторизации у ИЕ нет, но одном компе gzip работает, а на другом нет. Нельзя загружать в нескольких браузерах один и тот же проект: слет. Но есть еще и более анекдотические случаи. Рекурсия, и замечательный preg_match с UTF-8, который дает на всех 4 вариантах совершенно разный результат в комплексе с mb_разных функций (ключи u и пр. припарки делал). Да, обещают в PHP 6 версии починить. Но вот у седа 125 таких проблем не было.

Boss

Tue, 23 Jun 2009 11:55:24 -0000

Да как на других движках? Если я просто PHP-файл создавал с одной строчкой внутри. Проблема похоже именно в браузере.

Заметил еще особенность, что котонти цепляется к браузеру. Допустим авторизовался в мозиле. Открываю оперу, авторизуюсь в ней. Возвращаюсь в мозилу а там авторизация уже слетела. Тоже самое если авторизоваться сначала в опере, а потом в мозиле. В опере тоже слетает тогда. С одной стороны это конечно хорошо - дополнительная защита. Типа авторизовался где-то в интернет-кафе, а потом с домашнего компа зашел и все в порядке. Но с другой стороны, я, допустим, могу смотреть сайт на работе и дома. Соответственно каждый раз авторизоваться не очень то удобно.

Кстати. У меня интернет такой, что при каждом подключении к провайдеру IP-адрес присваивается рандомный. Это к вопросу о том, почему на данном сайте авторизация слетает. На своих то сайтах я давно предпочитаю отключать привязку к IP-адресу.

Trustmaster

Tue, 23 Jun 2009 03:55:41 -0000

То же самое я обнаружил пару месяцев назад: setcookie() с доменом не работает. Причем неудачные комбинации доменов и браузеров наблюдаются разные (то есть бывает работает, а бывает и нет).

Хмм, а на других движках работает вроде как? Странно...

Boss

Mon, 22 Jun 2009 18:52:06 -0000

В общем проследил всю цепочку действий, которые происходят после запроса на авторизацию. Все данные нормально передаются и т.д. Проблема оказалась в том, что при всех нормально поступающих параметрах куки не создавались функцией sed_setcookie и все тут. Начал копать саму функцию. В итоге дошел до тупого - экспериментам с PHP-функцией setcookie. Как оказалось...

Такой код НЕ работает с любым доменом:

А такой без проблем создает куки:

Т.е. функция не работает если задать домен для кука. ХЗ кто виноват. Использую последнюю версию мозилы, может дело в ней. В итоге убрал в настройках COT домен для куков. Хотя всегда ранее задавал данный параметр. Теперь все нормально. Куки записываются. Авторизация слетать больше не должна.

Kort

Mon, 22 Jun 2009 18:06:54 -0000

Два сайта на cot (апрейд с 121 до 0.0.5 и с 0.0.4 до 0.0.5), два на sed (121) + cotonti.com, neocrome.net -- все посещается практически ежедневно, и авторизация держится неделями (точно не засекал). Opera (9.64 и более ранние версии).

Boss

Mon, 22 Jun 2009 14:21:09 -0000

Вчера вечером был авторизован на сайте. Сегодня утром смотрю уже нет. Авторизовался снова. Пока хожу по сайту все нормально. Как только нет активности некоторое время, авторизация снова слетает. Не засекал, но примерно час прошел всего.

Блин посмотрел щас. Куки вообще не создаются, за счет сессии только держимся. Посмотрим...

Trustmaster

Mon, 22 Jun 2009 13:34:28 -0000

"Слетает авторизация" - это мало о чём говорит. Надо полностью описывать, как и когда слетает.

Boss

Mon, 22 Jun 2009 11:52:03 -0000

В последней версии движка 005 у меня авторизация все еще слетает. Как я понял какие-то поправки были сделаны, но оно почему-то все равно косячит?

Dr2005alex

Mon, 25 May 2009 15:55:23 -0000

Еще на этом сайте заметил баг! Если зайти сюда с одного компа и просто закрыть браузер не нажимая ВЫХОД то не могу авторизироваться с дпогого компа. В приветсвии пишет пустое имя пользователя и редирект на главную! Как выход нашел только авторизацию через users.php?m=auth

Boss

Mon, 25 May 2009 14:12:27 -0000

Уж сколько времени прошло, а на этом сайте авторизация все еще слетает. Чтобы движок стал популярнее надо пофиксить хотя бы очевидные глюки.

Ratibor

Fri, 24 Apr 2009 21:21:13 -0000

Да ничего не происходит, в Опере и ИЕ просто пол часа пытается открыть эту страницу.
А в лисе сразу пишет что сценарий или типа того не может быть завершен,
в общем какой то цикл который не может быть завершен.

В общем временно решил проблемму закоментировав в users.auth.inc.php:

if (empty($redirect))
 {
	sed_redirect(sed_url('users', 'm=auth&redirect='. base64_encode($sys['referer']), '', true));
	exit;
 }

Trustmaster

Fri, 24 Apr 2009 20:12:33 -0000

а что именно происходит? белая страница?

Ratibor

Thu, 23 Apr 2009 22:38:48 -0000

Заметил еще один глюк:
стоят два сайта на одном хостинге,
отличия только в скинах, на одном стандартный, на другом свой.
файлы движка обсолютно идентичны.
Там где стандартный скин, то можно войти на страницу авторизации,
а там где свой, то нельзя.
Пробовал закинуть users.auth.tpl от стандартного, все равно не заходит.
Самое интересное если к примеру сперва попробовать зайти на те странички, которые доступны авторизованным пользователям, к примеру pm.php, то сперва ругается что вам не позволено это делать, а потом преспокойненько перебрасывает на страницу авторизации.
У кого какие мысли ?
Почему просто по ссылке users.php?m=auth не заходит ?

Boss

Wed, 18 Mar 2009 13:20:46 -0000

Проверял все. Начал сегодня разбираться - кук COTONTI не создается, только PHPSESSID. До этого тестировал все нормально было. Вроде по части авторизации ничего не правил. Ну да ладно. У меня причина была в отправляемой форме.

Вот этот фикс снимите, он ложный.
http://trac.cotonti.com/ticket/248

Без него все нормально.

Trustmaster

Wed, 18 Mar 2009 12:31:52 -0000

Boss, у тебя динамический IP, который постоянно меняется. Поэтому неудивительно, что слетает авторизация на этом сайте. Вот если ipcheck=FALSE, то это уже другое дело. Но чтобы выяснить, в чём оно состоит, надо очень чётко фиксировать последовательность действий, которая приводит к слёту авторизации. Потому что если проблема с сабмитом форм - это одно, а если просто при сёрфинге - это совсем другое. И частота вылетов тоже очень важна.

dervan

Wed, 18 Mar 2009 09:51:26 -0000

До того, как я искал эту ошибку, у меня стоял апдейт с Cotonti 0.0.2 до 0.0.3, там она не наблюдалась.

Поставил Cotonti 0.0.3 с нуля, ошибка начала стабильно повторяться. Сделал исправления, как рассказано выше, больше эта ошибка не появляется.

Boss, пожалуйста посмотри у себя подробнее, что происходит - сейчас из твоего сообщения неясно, что и где искать.

И ещё: если ты сделал патч r636, не забудь в админке вернуть Maximum cookie lifetime в значение 5184000. И на всякий случай почисти cookie в браузере.

P.S.
Если ты заходишь по HTTPS, то cookie авторизации слетают после сеанса - так и должно быть, это специально сделано.

Boss

Tue, 17 Mar 2009 23:43:39 -0000

Короче, все равно, как оказалось вылетает авторизация. Я уж и те три файла пропатчил, как предлагается по ссылке в предыдущем посте.

dervan

Tue, 17 Mar 2009 06:13:04 -0000

Пожалуйста. :)

Только исправлять код надо иначе - выложенный здесь вариант сделан из неверного предположения, что была изменена единица измерения.

Правильный вариант исправления кода здесь: r636.

Boss

Mon, 16 Mar 2009 22:33:48 -0000

Спасибо!

зыЖ Админы, вы бы еще на этом сайте подкрутили настройки.

dervan

Sun, 15 Mar 2009 03:16:16 -0000

Если никто не хотел менять единицу измерения - может, и правда проще поменять способ вычисления параметра $expire.

Тем, кто сейчас использует Cotonti 0.0.3, можно в качестве временного решения до выхода новой версии советовать ставить в админке Maximum cookie lifetime в значение 1800 (хотя может и побольше будет работать, надо проверять). А после установки следующей версии им придётся опять сходить в админку и поменять это значение.

Trustmaster

Sun, 15 Mar 2009 02:58:50 -0000

Нигде не обсуждали, это чистой воды баг, который получился в результате путаницы переменной в конфиге и параметра в форме авторизации.

dervan

Sun, 15 Mar 2009 02:54:13 -0000

А где обсуждали вопрос об изменении единицы измерения - какие были причины для этого?

В секундах есть свои преимущества - можно как и раньше ставить интервалы меньше, чем сутки. И что lang-файлы при откате назад на секунды не придётся переделывать - тоже большой плюс.

Trustmaster

Sun, 15 Mar 2009 02:25:24 -0000

Теперь понятно, почему иногда "remember me" вообще не может задать cookie. Может проще убрать множитель 86400 и оставить время в секундах? Иначе надо еще добавить SQL-патч и менять все языковые файлы.

dervan

Sat, 14 Mar 2009 20:41:57 -0000

Это - ошибка при вычислении параметра $expire при вызове функцищи sed_setcookie(). Параметр имеет тип int, а вычисляется сейчас так:

time()+$cfg['cookielifetime']*86400

При этом значение $cfg['cookielifetime'] по умолчанию '5184000', т.е. происходит превышение максимально возможной величины для int, и в результате получается cookie с Expires = Session.

Исправление ошибки.

Найти в system/functions.admin.php строку:

	$result[] = array ('main', '10', 'cookielifetime', 2, '5184000', array (1800,3600,7200,14400,28800,43200,86400,172800, 259200,604800,1296000,2592000,5184000));

и поправить:

	$result[] = array ('main', '10', 'cookielifetime', 2, '60', array(1,2,3,7,15,30,60));

Найти в system/lang/en/admin.lang.php строку:

$L['cfg_cookielifetime'] = array('Maximum cookie lifetime', 'In seconds');

и поправить:

$L['cfg_cookielifetime'] = array('Maximum cookie lifetime', 'In days');

Аналогичные исправления сделать в других языковых файлах.

Зайти в Administration panel / Configuration / Main setup и там поправить Maximum cookie lifetime :, например на 60.[/][/]

esclkm

Sat, 14 Mar 2009 19:03:38 -0000

1. куки в наспройках подписаны?
2. версия?
3. на скольких компах используется 1 аккаунт?

Boss

Sat, 14 Mar 2009 17:58:44 -0000

Похоже авторизация держится только за счет сессий. Куки не воспринимаются в принципе.

jcrush

Fri, 13 Mar 2009 16:23:10 -0000

та же фигня, уже не один раз писал об этом

Boss

Fri, 13 Mar 2009 15:42:20 -0000

В чем причина слета авторизации? Вроде куки создаются, дата там нормальная устанавливается... Почему сайт выпинывает пользователя через некоторое время?

ps: В настройках $cfg['ipcheck'] = FALSE; значит эта причина сразу отпадает.