[TYPO3-UG France] Problème de login pas banal
Fred
hamel at urbansecurity.org
Fri Jun 29 14:13:38 CEST 2007
Donc j'ai adapté, j'ai bien mis les guillemets et les slashs mais il n'y
a toujours rien de nouveau.
J'ai bien vérifié et les droits de modification sont accordés pour le
dossier en question.
Ce qui est réellement rageant c'est qu'il distingue bien qu'un
utilisateur est loggué et à quelles pages cet utilisateur a accès.
De même il n'y a pas de cookie créé quand je me connecte sur le site
local mais la navigation se fait convenablement.
Extrait de mon php.ini :
[Session]
; Handler used to store/retrieve data.
session.save_handler = files
; Argument passed to save_handler. In the case of files, this is the path
; where data files are stored. Note: Windows users have to change this
; variable in order to use PHP's session functions.
; As of PHP 4.0.1, you can define the path as:
; session.save_path = "N;/path"
; where N is an integer. Instead of storing all the session files in
; /path, what this will do is use subdirectories N-levels deep, and
; store the session data in those directories. This is useful if you
; or your OS have problems with lots of files in one directory, and is
; a more efficient layout for servers that handle lots of sessions.
; NOTE 1: PHP will not create this directory structure automatically.
; You can use the script in the ext/session dir for that purpose.
; NOTE 2: See the section on garbage collection below if you choose to
; use subdirectories for session storage
session.save_path = "C:/typo3/session"
; Whether to use cookies.
session.use_cookies = 1
; This option enables administrators to make their users invulnerable to
; attacks which involve passing session ids in URLs; defaults to 0.
; session.use_only_cookies = 1
; Name of the session (used as cookie name).
session.name = PHPSESSID
; Initialize session on request startup.
session.auto_start = 0
; Lifetime in seconds of cookie or, if 0, until browser is restarted.
session.cookie_lifetime = 0
; The path for which the cookie is valid.
session.cookie_path = /
; The domain for which the cookie is valid.
session.cookie_domain =
; Handler used to serialize data. php is the standard serializer of PHP.
session.serialize_handler = php
; Define the probability that the 'garbage collection' process is started
; on every session initialization.
; The probability is calculated by using gc_probability/gc_divisor,
; e.g. 1/100 means there is a 1% chance that the GC process starts
; on each request.
session.gc_probability = 1
session.gc_divisor = 100
; After this number of seconds, stored data will be seen as 'garbage' and
; cleaned up by the garbage collection process.
session.gc_maxlifetime = 1440
; NOTE: If you are using the subdirectory option for storing session files
; (see session.save_path above), then garbage collection does *not*
; happen automatically. You will need to do your own garbage
; collection through a shell script, cron entry, or some other
method.
; For example, the following script would is the equivalent of
; setting session.gc_maxlifetime to 1440 (1440 seconds = 24 minutes):
; cd /path/to/sessions; find -cmin +24 | xargs rm
; PHP 4.2 and less have an undocumented feature/bug that allows you to
; to initialize a session variable in the global scope, albeit
register_globals
; is disabled. PHP 4.3 and later will warn you, if this feature is used.
; You can disable the feature and the warning seperately. At this time,
; the warning is only displayed, if bug_compat_42 is enabled.
session.bug_compat_42 = 1
session.bug_compat_warn = 1
; Check HTTP Referer to invalidate externally stored URLs containing ids.
; HTTP_REFERER has to contain this substring for the session to be
; considered as valid.
session.referer_check =
; How many bytes to read from the file.
session.entropy_length = 0
; Specified here to create the session id.
session.entropy_file =
;session.entropy_length = 16
;session.entropy_file = /dev/urandom
; Set to {nocache,private,public,} to determine HTTP caching aspects
; or leave this empty to avoid sending anti-caching headers.
session.cache_limiter = nocache
; Document expires after n minutes.
session.cache_expire = 180
; trans sid support is disabled by default.
; Use of trans sid may risk your users security.
; Use this option with caution.
; - User may send URL contains active session ID
; to other person via. email/irc/etc.
; - URL that contains active session ID may be stored
; in publically accessible computer.
; - User may access your site with the same session ID
; always using URL stored in browser's history or bookmarks.
session.use_trans_sid = 0
; The URL rewriter will look for URLs in a defined set of HTML tags.
; form/fieldset are special; if you include them here, the rewriter will
; add a hidden <input> field with the info which is otherwise appended
; to URLs. If you want XHTML conformity, remove the form entry.
; Note that all valid entries require a "=", even if no value follows.
url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=,fieldset="
session.save_path= C:\PHP\sessiondata ; argument passed to save_handler
Walid Iguer a écrit :
> Pour ma part, le session.save_path est réglé comme suit:
> session.save_path =
> "D:/TYPO3/session/" et ça fonctionne
> Par contre pour le browscap.ini, aucune idée, je ne l'ai jamais utilisé :/
> Pour register_globals, non, ce n'est pas un problème, petit bout du
> .htaccess:
> # TYPO3 works fine with register_globals turned off.
> # This is highly recommended!
> # php_flag register_globals off
>
> On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>>
>> Walid Iguer a écrit :
>> > Pour le session.save_path, oui, c'est bien dans ce sens qu'il faut
>> > aller, en
>> > espérant que ça règlera ton problème, sinon, active le logging des
>> erreurs
>> > PHP (toujours via php.ini), ça aidera peut être à trouver d'où vient
>> > l'erreur plus tard.
>> > Pour session.cookue_domain, ce n'était pas nécessaire (personnellement
>> > je ne
>> > le règle pas et j'ai plusieurs sites TYPO3 hébergés sur mon serveur)
>> >
>> > On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>> >>
>> >> Walid Iguer a écrit :
>> >> > Bonjour,
>> >> > As-tu vérifié côté configuration PHP si le session.save_path était
>> bien
>> >> > renseigné et s'il est writable par le serveur Web ?
>> >> >
>> >> > On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>> >> >>
>> >> >> Pour commencer voici ma configuration :
>> >> >> - Serveur dédié windows 2000
>> >> >> - IIS et framework .net (sites en ASP.NET avec Bdd MS-SQL)
>> >> >> - PHP 4.3.6
>> >> >> - MySQL 4.0.18
>> >> >>
>> >> >> Sur ce serveur tournent les sites asp.net et un site Spip.
>> >> >> J'ai installé Typo3 4.11 pour réaliser mon site.
>> >> >> J'ai eu un premier pépin lorsque j'ai voulu installer via Internet
>> >> >> Explorer, il était tout simplement impossible d'accéder au backend,
>> >> >> admin password ne fonctionnait pas.
>> >> >> J'ai repris mon bon vieux FireFox pour le développement et je n'ai
>> pas
>> >> >> eu de problème (si ce n'est que l'Install Tool boucle).
>> >> >> Le problème, maintenant, c'est que le login box que j'ai mis sur le
>> >> site
>> >> >> ne fonctionne pas non-plus sous IE.
>> >> >>
>> >> >> Quand je travaillais en local (easyPHP) il n'y avait aucun
>> >> problème, IE
>> >> >> se connectait et je navigais sur les pages protégées. Je peux
>> >> également
>> >> >> me connecter avec IE sur un autre site typo3 qui est hébergé chez
>> OVH.
>> >> >> Donc j'imagine qu'IE n'est pas à incriminer.
>> >> >>
>> >> >> J'ai pensé qu'il s'agissait de mon code, de ma configuration Typo3,
>> >> j'ai
>> >> >> donc installé Quickstart sur mon serveur et le problème est le même
>> :
>> >> >> pas de login possible, ni au front-end ni au backend.
>> >> >>
>> >> >> Pour le backend je boucle sur la page de login, pour le
>> front-end le
>> >> >> problème est très curieux puisque la login-box disparaît comme
>> convenu
>> >> >> et seules les pages autorisées à l'utilisateur apparaissent dans le
>> >> >> menu, seulement dès que je veux y accéder je reviens sur le login.
>> >> >>
>> >> >> J'ai suivi les instructions pour l'installation sous IIS qui sont
>> >> >> fournies dans la doc sans plus de succès, les modifications du
>> php.ini
>> >> >> n'ont rien changé (si ce n'est que je perdais SPIP).
>> >> >>
>> >> >> Je ne vois plus que le changement d'hébergeur mais ça me chagrine
>> >> de ne
>> >> >> pas comprendre le problème.
>> >> >> _______________________________________________
>> >> >> TYPO3-france mailing list
>> >> >> TYPO3-france at lists.netfielders.de
>> >> >> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> Merci pour la proposition.
>> >> J'ai jeté un oeil, la ligne session.save_path = /tmp était désactivée,
>> >> je l'ai activée, j'ai créé le dossier tmp dans le dossier php et
>> lui ai
>> >> attribué les droits de modification. Je dois attendre midi pour
>> >> redémarrer IIS, que mes collègues mangent.
>> >> Dans la foulée j'ai attribué le nom de domaine principal à
>> >> session.cookie_domain
>> >> C'est bien dans ce sens qu'il faut aller ?
>> >> _______________________________________________
>> >> TYPO3-france mailing list
>> >> TYPO3-france at lists.netfielders.de
>> >> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>> >>
>> >
>> >
>> >
>> Bon,
>> J'ai redémarré mais toujours rien.
>> J'ai bien mis session.save_path = \tmp, j'ai créé le dossier et je lui
>> ai attribué les droits d'écriture.
>> J'ai ajouté $TYPO3_CONF_VARS['SYS']['doNotCheckReferer'] = '1'; dans mon
>> fichier localconf.php
>> Rien de nouveau sous le soleil. C'est déprimant.
>>
>> Est-ce que le fait que "register_globals" soit off puisse y être pour
>> quelquechose ?
>> De même j'ai vu que mon fichier browscap.ini n'a pas de données pour
>> IE6, c'est normal ?
>> _______________________________________________
>> TYPO3-france mailing list
>> TYPO3-france at lists.netfielders.de
>> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>>
>
>
>
More information about the TYPO3-france
mailing list