Náhodné odhlašování

(pište, co byste rádi či co se Vám nelíbí)

Moderátor: Moderátoři

Re: Náhodné odhlašování

Příspěvekod dmatej » ned zář 25, 2011 21:36

Tak dneska mě to přes orange odhlásilo snad 50x, přečtl jsem maily a odkazy z nich, a nakonec se přihlásil na forum.ladaklub.com
Zatím to drží, napadá mě scénář, že někde IP přeloží na forum, někde na orange, a pokud nastane ve vhodný okamžik rozdíl, zneplatní se session. S tím se samozřejmě nedá nic dělat, leda používat všichni stejný DNS server :D

Heh, tak mě napadá, že si zkusím pohrát s foxyproxy ....
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto).
Uživatelský avatar
dmatej
 
Příspěvky: 2844
Registrován: pon bře 14, 2005 20:44
Bydliště: Přehýšov

Re: Náhodné odhlašování

Příspěvekod dmatej » pon pro 05, 2011 19:08

Takže, teď jsem se asi 50x přihlásil, aniž bych se odhlásil, protože mi to takřka hned vytváří novou session.
Dokážeš projít kód, kde všude se zneplatňuje session?
Nakonec pomohlo vypnout cookies a po každém odhlášení, když mě to poslalo na přihlašovací obrazovku, nahoře umazat sid=... (sessionId), odeslat ENTER, odeslat přihlašovací formulář. Pak jednou odešlu nějaký další nebo kliknu na něco z fora, a jsem zase odhlášený.

Browser Firefox 8.0, Opera 11.52, zřejmě i jiné.

Jestli chci nebo nechci automatické přihlášení nehraje roli, resp. spíš to situaci zhoršuje, ale možná se mi to zdá.

Ještě jedna věc - když povolík cookies a otevřu ve FF Tools - Page Info - Security - View Cookies a všechny smažu, aniž bych cokoliv udělal, tři se tam opět objeví během vteřiny nebo dvou. Jinak řečeno, nějaký blbý javascript se baví se serverem, patrně přes stejnou session, přičemž jí buď sám zneplatní, nebo je mu zneplatněna (ze serveru přijde nové sessionId).

Výsledek konverguje do situace, kdy se přihlásím a po přihlášení mě to přesměruje na přihlášení. Odsud se bez smazání sessionId v url a odeslání (vynucení si nové session), nedostanu.

Pravděpodobná chyba
1) javascript běží i pro nepřihlášeného uživatele, dostane vždy novou session, to by bylo logické. Pokaždé dostane novou session, protože uživatel žádnou platnou ještě nemá. Typicky by se tak mohl zjišťovat stav uživatele nebo zobrazování stavu ostatních, nevím. Možná se pokusím ještě chytat pakety ... nebo aspoň komunikaci HTTP.
2) Uživatel se přihlásí
3) javascript stále ještě běží bez přihlášení, dostane tedy novou session
4) tím ovšem podřízne přihlášení.

Je to tak? Zkusím chytat ... páč dneska mě to už sere, po čase přijdu na forum a furt se jen přihlašuju ...
2)
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto).
Uživatelský avatar
dmatej
 
Příspěvky: 2844
Registrován: pon bře 14, 2005 20:44
Bydliště: Přehýšov

Re: Náhodné odhlašování

Příspěvekod Jelen » pon pro 05, 2011 19:16

Nevim, ale já jsem bez problémů. Používám Firefox 8.0.1 a na mobilu je to o.k. taktéž. Chyba nebude na našem vysílači.
Uživatelský avatar
Jelen
 
Příspěvky: 6713
Registrován: stř kvě 17, 2006 13:33
Bydliště: Střední Čechy

Re: Náhodné odhlašování

Příspěvekod dmatej » pon pro 05, 2011 20:38

Jelene, nechtěj, abych Tě někam poslal ;)
Nemontuj se do toho, čemu nerozumíš.

Chyba technicky ani nemůže být u mě, ale to bys o tom něco musel vědět ...
Otázka je spíš na JmJ, to je PHP guru ;-)

Tady máte hned několik variant, co změnit - buď je blbý nastavení, nebo implementace:
http://forum.phpbbservice.nl/docs/FAQ.html

Tipnu si:
http://forum.phpbbservice.nl/docs/FAQ.html#aol_browser
- totiž, x-forwarded-for je nestandardní a obecně nepodporovaná hlavička, musela by jí doplňovat každá proxy na cestě a cesta by musela být pro každý request stejná!!! Jinak to nefunguje, což je případ nejen mobilních operátorů, ale taky čehokoliv, co běží v cloudu.
- IP adresa se mi naposledy změnila tady; platí dosud, mezitím jsem byl odhlášen už NEPOČÍTANĚKRÁT!:
Kód: Vybrat vše
--> Carrier detected.  Starting PPP immediately.
--> Starting pppd at Mon Dec  5 18:21:45 2011
--> Pid of pppd: 26391
--> Using interface ppp0
--> pppd: �[7f]
--> pppd: �[7f]
--> pppd: �[7f]
--> pppd: �[7f]
--> pppd: �[7f]
--> local  IP address 10.23.154.10
--> pppd: �[7f]
--> remote IP address 10.64.64.64
--> pppd: �[7f]
--> primary   DNS address 217.77.165.81
--> pppd: �[7f]
--> secondary DNS address 217.77.161.131
--> pppd: �[7f]
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto).
Uživatelský avatar
dmatej
 
Příspěvky: 2844
Registrován: pon bře 14, 2005 20:44
Bydliště: Přehýšov

Re: Náhodné odhlašování

Příspěvekod Laďuša » pon pro 05, 2011 21:52

Jsem rád, že tomu technicky nerozumim, že fórum způsobuje odhlašování, ale nemusim se přihlásit asi jak je rok dlouhej :D
Člen LKCS; Honorowy klubowicz LKP [ELITE 5000]

Chatka 12 forever :toothy10: ►Stodolní II◄ :) Estonian-czech crazy night :partyman: Uctívač Vana Tallinnu. Propāns-butāns!
Osa Klatovy-Plzeň-Brno ;) Tři sestry <|||> Ladagang 8) °Expedice Eesti 2010°
Dva PoJeBy ze Skašova

Haben Sie Bratwurst?

:!: keréklampás :!:
Uživatelský avatar
Laďuša
 
Příspěvky: 12117
Registrován: stř lis 09, 2005 22:06
Bydliště: Klatovy / Plzeň

Re: Náhodné odhlašování

Příspěvekod dmatej » pon pro 05, 2011 22:06

Laďuša píše:Jsem rád, že tomu technicky nerozumim, že fórum způsobuje odhlašování, ale nemusim se přihlásit asi jak je rok dlouhej :D

Dej si bludišťáka! :mrgreen:
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto).
Uživatelský avatar
dmatej
 
Příspěvky: 2844
Registrován: pon bře 14, 2005 20:44
Bydliště: Přehýšov

Re: Náhodné odhlašování

Příspěvekod JmJ » pon pro 05, 2011 22:52

dmatej píše:
Laďuša píše:Jsem rád, že tomu technicky nerozumim, že fórum způsobuje odhlašování, ale nemusim se přihlásit asi jak je rok dlouhej :D

Dej si bludišťáka! :mrgreen:


ve vsi ucte povim jen to, ze si bud narazil na nejakou velmi necekanou chybu, kterou ja tezko dohledam v takove hruze jako je php BB a nebo delas neco spatne, i kdyz myslis, ze ne ;-) protoze ti to zrejme zacalo zlobit az nekdy ted (driv sis nestezoval) a jinym to jede dobre ;-)

obdivuju tvuj analyticky pristup (uprimne), ale nemam silu s tim neco delat. pokud chces, klidne se v tom muzes povrtat sam ;-)

url pouzivaj jakou? forum.ladaklub ?

neber to prosim ze na tebe kaslu, ale ja na opravdu nemam silu, navic, kdyz jsi v tom zatim sam ;-)
MFP
wergl I - 2104 - melt down
wergl II - 2104 - rebuild succeded
wergl III - 21113 - sold (Chester's new)
wergl IV - i30 - tout est bleu
Uživatelský avatar
JmJ
 
Příspěvky: 6474
Registrován: úte čer 01, 2004 11:30
Bydliště: Kromeriz

Re: Náhodné odhlašování

Příspěvekod Jelen » pon pro 05, 2011 23:04

Je fakt, že nejsem programátorskej mág, jako ty, nebo Honza, ale pokud jsi jedinej, tak mi můj šestý smysl říká, že asi bude chyba jinde, ale to je jedno ;) Nemáš náhodou dynamickou IP adresu? I když to by nemělo mít vliv. Každopádně jsem se koukal na ty FAQ, cos poslal a cookies jsou nastavený tak, že doména cookie je forum.ladaklub.com a název cookie je phpbb3_32adcx , snat ti to pomůže. V Security setting je povoleno automatické přihlášení, ověření je podle a.b.c.
Uživatelský avatar
Jelen
 
Příspěvky: 6713
Registrován: stř kvě 17, 2006 13:33
Bydliště: Střední Čechy

Re: Náhodné odhlašování

Příspěvekod dmatej » úte pro 06, 2011 21:02

Řešil jsem to s JmJ, dal mi práva se v tom pohrabat. Snížil jsem to na A.B ještě v práci (tam mě to neodhlašovalo).
Teď jsem doma, přes Firefox, a zatím je to ok, takže to vypadá, že jsem trefil hřebíček na hlavičku ;)

Jako promiň, nechtěl jsem z Tebe dělat blba, jen mě tyhle "hlášky" už celkem popouzely, zvlášť když jsi mi vůbec nijak nepomohl.
Cookies jsem mazal, dělal s tím všelijaké pokusy.

Proč to zlobí je popsané v tom FAQ docela dobře, o hlavičkách s X-* jsem psal, mimochodem, třeba drahé CISCO strojky to dost dlouho nepodporovaly ... potom jakmile Ti projde požadavek přes takovou mrchu, o hlavičky může přijít => dva uživatelé se dvěma sessionId můžou mít stejnou cestu a ověření je v kýbli.
Pokud se neudržuje cesta (síťařina, nastavení serveru + cokoliv na cestě může spojení přerušit + uživatel by to neměl poznat) a někde je cluster proxyn (typicky právě u mobilních operátorů, nebo třeba AOL v USA, to těžko dělá jeden stroj), může další požadavek přijít jinou cestou a ověření je opět v kýbli. Cesta se udržuje obvykle po dobu danou nastavením KEEP-ALIVE, ale opět - není žádná záruka, že cesta opravdu udržená bude.

http://en.wikipedia.org/wiki/HTTP_persistent_connection - koukám, že vývoj opět obrátil směr. Čili nová verze Firefoxu dost možná spojení spíš neudržuje a tím pádem roste riziko, že požadavek přijde jinou cestou. (kdyby byl aspoň rychlejší než ta Opera). (kdyby Opera měla tolik pluginů, Firefox snad vyhodim, poslední dobou mi pije krev - např. v kuse tu žere 30% výkonu, prase).

Jinak možná jsem i programátorskej mág, ale nejsem síťař a mám v tom mezery ;)
Je to asi jako po autoelektrikáři chtít vyklepat blatník. :mrgreen:

JmJ píše: protoze ti to zrejme zacalo zlobit az nekdy ted (driv sis nestezoval) a jinym to jede dobre ;-)

Četl jsi to téma od začátku? Tuším, že Plavce to taky onehdá párkrát vykoplo.
Ano, používám nyní např. posting.php?mode=edit&f=4&p=341118 (uřízl jsem sid, které se z nějakého důvodu pořád dostává do URL ... že by tím, že jsem včera vypnul cookies? Tak je schválně zas zapnu :) ).

Další edit: Chvilku bylo sid v URL ještě po zapnutí cookies. To je divný, podle mě nějaká chyba v PhpBB, ale aspoň to konverguje - sid je teď pryč. Bez cookies mě to teď párkrát z Firefoxu odhlásilo, tedy doslova párkrát, čili dvakrát. Ale stačilo dát krok zpět a znova odeslat a spravilo se to, aniž bych se přihlašoval. Podle mě se možná nezneplatní stará session a udělá se nová, potom je tudíž možné se dostat i k té staré, což je špatně. Ale možná je ten scénář jiný, nevím.
Pokud mě to ještě odhlásí přes Firefox, dám vědět. Ale prdel si to ze mě dělat nebude, program má povinnost chovat se deterministicky!!! :finga:

Edit: Blbne to ověřování IP adresy a to z důvodu, že Vodafone používá hned dva naprosto nesouvisející rozsahy IP adres:
Moje IP je teď tahle: 10.23.66.119
Po přihlášení se ale v logu phpBB objeví tyhle dvě, náhodně; obě jsou stroje Vodafone, nejspíš nějaké bezestavové proxy, které se "za mě" zeptají fora, a pak mi přeloží odpověď - při změně mě to kvůli ověření vykopne, protože ty nesouhlasí ani v A :( :
46.135.64.16
217.77.165.45

Tohle je na pytel zabezpečení, kašlu na to. Mám dotaz: jaká je výkonová rezerva? Co zapnout SSL místo těchhle sraček?
Hezký popis, v čem je zakopán pes a myšlenky, co s tím ... a tenhle článek je právě PŘESNĚ ten problém, viz výše ... a asi nic nevymyslíme. phpBB a Vodafone nejdou dohromady :-(
http://phpnuke.org/modules.php?name=PHP ... -work.html

Mimochodem, nač se namáhat s kradením session, páč než jí na něco zneužiju, uživatel se sám odhlásí. I když počkat, vlastně máme trvalé přihlášení, to je ta velká bezpečnostní díra ...
Ať to nebo to, útočník si jen někde na cestě chytí požadavek z přihlášení, kde je plain login i password a má co chce kdykoliv chce. Bez ssl je každý zabezpečení skoro na nic ... a i to se dá prolomit, proto mají klíče omezenou platnost - tak, aby než nadupaný HW prolomí šifru, klíč je mu už na nic. Pokud to stihne, šifra jde na černou listinu ;)
Nevýhoda SSL je větší náročnost na výkon serveru ...
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto).
Uživatelský avatar
dmatej
 
Příspěvky: 2844
Registrován: pon bře 14, 2005 20:44
Bydliště: Přehýšov

Re: Náhodné odhlašování

Příspěvekod JmJ » stř pro 07, 2011 09:07

Na SSL se muzu preptat. Jen uz vidim ty tuny dotazu tady, co a kde to komu blije :lol:
MFP
wergl I - 2104 - melt down
wergl II - 2104 - rebuild succeded
wergl III - 21113 - sold (Chester's new)
wergl IV - i30 - tout est bleu
Uživatelský avatar
JmJ
 
Příspěvky: 6474
Registrován: úte čer 01, 2004 11:30
Bydliště: Kromeriz

Úvaha jednoho blba

Příspěvekod Hurikán » stř pro 07, 2011 14:16

Sice dmatejovýmu problému a jím rozebíraným příčinám/následkům rozumím jako koza petrželi, ale i tak mě to nedá, abych sem nenapsal pár řádků.

Ze zcela laického pohledu shrnu to, co jsem v tomto vláknu doposud četl:

Ještě za starého fóra:
- problémy s odhlašováním hlásí jen dmatej
- párkrát to zazlobilo Plavcovi
- nikdo jiný žádný problém nehlásil

Po upgradeu na php BB3:
- problémy s odhlašováním hlásí jen dmatej
- nikdo jiný žádný problém nehlásil

Z tohoto mě logicky vyplývá, že problém nebude v systému fóra, které se ještě navíc úplně změnilo, ale někde na straně dmateje. Kdyby byl problém v systému fóra, musely by mít potíže i jiní lidé, ale tak tomu asi není, protože nikdo jiný se neozval. Já osobně na fórum chodím ze 4 různých PC, které jsou na 3 různých místech a všude mě to funguje úplně normálně. Přitom jsou odlišné operační systémy i prohlížeče.

Jestliže Ti tedy Davide dal JmJ práva k přístupu, abyses v tom mohl šťourat, tak to klidně zkoušej. Jenom bych se strašně nerad dočkal situace, kdy tady vítězoslavně ohlásíš, že Ti to už funguje, ale ostatním to bude padat, nebo budou mít jiné problémy. :lol: :D :? To není, Davide, vůbec mířeno osobně proti Tobě, ale jde jen o mou všeobecnou obavu, vycházející z mých zkušeností s obdobným průběhem, byť z trošku jiného oboru. ;)
Моя фотогалерея здесь.

Я слежу за тобой. Всегда!
Obrázek
Uživatelský avatar
Hurikán
 
Příspěvky: 5802
Registrován: čtv úno 17, 2005 11:07
Bydliště: Brno

Re: Náhodné odhlašování

Příspěvekod JmJ » stř pro 07, 2011 15:21

Jde o to, ze phpbb identifikuje uzivatele behem sezeni, tedy od prihlaseni do odhlaseni, jednak podle identifikatoru, ktery phpBB pro daneho uzivatele v danem sezeni vygeneruje a ktery musi uzivateluv prohlizec pri kazdem pozadavku o stranku poslat, druhak podle ip adresy, ktera musi byt stejna jako pro prihlaseni, tretak jeste podle neceho dalsiho, co se nesmi behem sezeni zmenit.

Z toho plyne, ze pokud se uzivatel prihlasi z IP adresy A a pri dalsim nacteni nejake stranky na foru posle pozadavek z IP adresy B, tak je v prdeli a je odhlasen. U velkych poskytovatelu internetu, nebo treba u mobilnich operatoru, vyfasujete pro svuj pocitact IP adresu ze soukrome site operatora. Operator pak vase data posle do internetu pres nekterou ze svych internetovych bran, kterou si vybere treba podle vytizeni. Kazda brana ma jinou verejno IP v internetu. Takze dochazi k tomu, ze pro phpBB se uzivatel s jednim identifikatorem sezeni prihlasi z jine IP adresy a proto ho phpBB odstrihne.

Tyhle ruzne urovne parovani uzivatele k sezeni se daji vypinat, roste tim ale nezabezpecenost prace s forem.

(mozna sem to nepopsal technicky presne, ale doufam, ze pochopitelne).
MFP
wergl I - 2104 - melt down
wergl II - 2104 - rebuild succeded
wergl III - 21113 - sold (Chester's new)
wergl IV - i30 - tout est bleu
Uživatelský avatar
JmJ
 
Příspěvky: 6474
Registrován: úte čer 01, 2004 11:30
Bydliště: Kromeriz

Re: Náhodné odhlašování

Příspěvekod Hurikán » stř pro 07, 2011 15:40

JmJ, díky za vysvětlení. Napsal jsi to tak dobře, :thumbleft: že jsem to dokonce pochopil i já. :lol:

Jenom mě není pořád jasné, proč má problémy jen dmatej a nikdo jiný? To dmatej používá natolik odlišného providera od všech ostatních? Přece snad není jediný? Nebo ano? :scratch: No nic. Tady už asi končím, neboť mé znalosti pro další duchaplnou debatu jsou nejspíš už nedostatečné. :)
Моя фотогалерея здесь.

Я слежу за тобой. Всегда!
Obrázek
Uživatelský avatar
Hurikán
 
Příspěvky: 5802
Registrován: čtv úno 17, 2005 11:07
Bydliště: Brno

Re: Náhodné odhlašování

Příspěvekod Křečík Barbuška » stř pro 07, 2011 15:45

Chlapci, nechci nějak popuzovat, ale mě se to také sem tam náhodně odhlašuje, ale jako tvor trpělivý to nikde neventiluji. Já jen, aby v tom David nebyl sám :-) . To že nikdo neřve ještě neznamená, že to chodí :mrgreen: .
Lada Granta Liftback 1,6 16V - skoro normální auto
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
Uživatelský avatar
Křečík Barbuška
 
Příspěvky: 11021
Registrován: ned srp 29, 2004 09:01
Bydliště: Brno

Re: Náhodné odhlašování

Příspěvekod Hurikán » stř pro 07, 2011 15:51

Hmmm, to je Marku zajímavé. Zvlášť proto, že máme stejného providera a navíc jedeme přes ten stejný uzel. Přitom mě systém neodhlásí, jak je rok dlouhý. :scratch: Tohle fakt nechápu. :roll:

PS: asi naivně jsem předpokládal, že když má někdo nějaký problém, tak se ozve. Jak vidno, byla to nesprávná úvaha. :|
Моя фотогалерея здесь.

Я слежу за тобой. Всегда!
Obrázek
Uživatelský avatar
Hurikán
 
Příspěvky: 5802
Registrován: čtv úno 17, 2005 11:07
Bydliště: Brno

PředchozíDalší

Zpět na Kniha přání a stížností

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků

cron