[TYPO3-UG France] Problème de login pas banal
Fred
hamel at urbansecurity.org
Fri Jun 29 17:23:26 CEST 2007
J'avais bon pour une chose : mon fichier browscap.ini n'était pas le
même sur le serveur que sur mon poste. Mon IIS est en version 6 sur le
serveur et il est logiquement mis à jour automatiquement.
J'ai remplacé browscap.ini et browscap.dll par les miens sans résultat,
ni pour mon site ni pour le quickstart.
Fred a écrit :
> Donc j'ai adapté, j'ai bien mis les guillemets et les slashs mais il n'y
> a toujours rien de nouveau.
> J'ai bien vérifié et les droits de modification sont accordés pour le
> dossier en question.
> Ce qui est réellement rageant c'est qu'il distingue bien qu'un
> utilisateur est loggué et à quelles pages cet utilisateur a accès.
> De même il n'y a pas de cookie créé quand je me connecte sur le site
> local mais la navigation se fait convenablement.
>
> Extrait de mon php.ini :
>
> [Session]
> ; Handler used to store/retrieve data.
> session.save_handler = files
>
> ; Argument passed to save_handler. In the case of files, this is the path
> ; where data files are stored. Note: Windows users have to change this
> ; variable in order to use PHP's session functions.
> ; As of PHP 4.0.1, you can define the path as:
> ; session.save_path = "N;/path"
> ; where N is an integer. Instead of storing all the session files in
> ; /path, what this will do is use subdirectories N-levels deep, and
> ; store the session data in those directories. This is useful if you
> ; or your OS have problems with lots of files in one directory, and is
> ; a more efficient layout for servers that handle lots of sessions.
> ; NOTE 1: PHP will not create this directory structure automatically.
> ; You can use the script in the ext/session dir for that purpose.
> ; NOTE 2: See the section on garbage collection below if you choose to
> ; use subdirectories for session storage
> session.save_path = "C:/typo3/session"
>
> ; Whether to use cookies.
> session.use_cookies = 1
>
> ; This option enables administrators to make their users invulnerable to
> ; attacks which involve passing session ids in URLs; defaults to 0.
> ; session.use_only_cookies = 1
>
> ; Name of the session (used as cookie name).
> session.name = PHPSESSID
>
> ; Initialize session on request startup.
> session.auto_start = 0
>
> ; Lifetime in seconds of cookie or, if 0, until browser is restarted.
> session.cookie_lifetime = 0
>
> ; The path for which the cookie is valid.
> session.cookie_path = /
>
> ; The domain for which the cookie is valid.
> session.cookie_domain =
>
> ; Handler used to serialize data. php is the standard serializer of PHP.
> session.serialize_handler = php
>
> ; Define the probability that the 'garbage collection' process is started
> ; on every session initialization.
> ; The probability is calculated by using gc_probability/gc_divisor,
> ; e.g. 1/100 means there is a 1% chance that the GC process starts
> ; on each request.
>
> session.gc_probability = 1
> session.gc_divisor = 100
>
> ; After this number of seconds, stored data will be seen as 'garbage' and
> ; cleaned up by the garbage collection process.
> session.gc_maxlifetime = 1440
>
> ; NOTE: If you are using the subdirectory option for storing session files
> ; (see session.save_path above), then garbage collection does *not*
> ; happen automatically. You will need to do your own garbage
> ; collection through a shell script, cron entry, or some other
> method.
> ; For example, the following script would is the equivalent of
> ; setting session.gc_maxlifetime to 1440 (1440 seconds = 24 minutes):
> ; cd /path/to/sessions; find -cmin +24 | xargs rm
>
> ; PHP 4.2 and less have an undocumented feature/bug that allows you to
> ; to initialize a session variable in the global scope, albeit
> register_globals
> ; is disabled. PHP 4.3 and later will warn you, if this feature is used.
> ; You can disable the feature and the warning seperately. At this time,
> ; the warning is only displayed, if bug_compat_42 is enabled.
>
> session.bug_compat_42 = 1
> session.bug_compat_warn = 1
>
> ; Check HTTP Referer to invalidate externally stored URLs containing ids.
> ; HTTP_REFERER has to contain this substring for the session to be
> ; considered as valid.
> session.referer_check =
>
> ; How many bytes to read from the file.
> session.entropy_length = 0
>
> ; Specified here to create the session id.
> session.entropy_file =
>
> ;session.entropy_length = 16
>
> ;session.entropy_file = /dev/urandom
>
> ; Set to {nocache,private,public,} to determine HTTP caching aspects
> ; or leave this empty to avoid sending anti-caching headers.
> session.cache_limiter = nocache
>
> ; Document expires after n minutes.
> session.cache_expire = 180
>
> ; trans sid support is disabled by default.
> ; Use of trans sid may risk your users security.
> ; Use this option with caution.
> ; - User may send URL contains active session ID
> ; to other person via. email/irc/etc.
> ; - URL that contains active session ID may be stored
> ; in publically accessible computer.
> ; - User may access your site with the same session ID
> ; always using URL stored in browser's history or bookmarks.
> session.use_trans_sid = 0
>
> ; The URL rewriter will look for URLs in a defined set of HTML tags.
> ; form/fieldset are special; if you include them here, the rewriter will
> ; add a hidden <input> field with the info which is otherwise appended
> ; to URLs. If you want XHTML conformity, remove the form entry.
> ; Note that all valid entries require a "=", even if no value follows.
> url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=,fieldset="
> session.save_path= C:\PHP\sessiondata ; argument passed to save_handler
>
>
>
> Walid Iguer a écrit :
>> Pour ma part, le session.save_path est réglé comme suit:
>> session.save_path =
>> "D:/TYPO3/session/" et ça fonctionne
>> Par contre pour le browscap.ini, aucune idée, je ne l'ai jamais
>> utilisé :/
>> Pour register_globals, non, ce n'est pas un problème, petit bout du
>> .htaccess:
>> # TYPO3 works fine with register_globals turned off.
>> # This is highly recommended!
>> # php_flag register_globals off
>>
>> On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>>>
>>> Walid Iguer a écrit :
>>> > Pour le session.save_path, oui, c'est bien dans ce sens qu'il faut
>>> > aller, en
>>> > espérant que ça règlera ton problème, sinon, active le logging des
>>> erreurs
>>> > PHP (toujours via php.ini), ça aidera peut être à trouver d'où vient
>>> > l'erreur plus tard.
>>> > Pour session.cookue_domain, ce n'était pas nécessaire (personnellement
>>> > je ne
>>> > le règle pas et j'ai plusieurs sites TYPO3 hébergés sur mon serveur)
>>> >
>>> > On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>>> >>
>>> >> Walid Iguer a écrit :
>>> >> > Bonjour,
>>> >> > As-tu vérifié côté configuration PHP si le session.save_path était
>>> bien
>>> >> > renseigné et s'il est writable par le serveur Web ?
>>> >> >
>>> >> > On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>>> >> >>
>>> >> >> Pour commencer voici ma configuration :
>>> >> >> - Serveur dédié windows 2000
>>> >> >> - IIS et framework .net (sites en ASP.NET avec Bdd MS-SQL)
>>> >> >> - PHP 4.3.6
>>> >> >> - MySQL 4.0.18
>>> >> >>
>>> >> >> Sur ce serveur tournent les sites asp.net et un site Spip.
>>> >> >> J'ai installé Typo3 4.11 pour réaliser mon site.
>>> >> >> J'ai eu un premier pépin lorsque j'ai voulu installer via Internet
>>> >> >> Explorer, il était tout simplement impossible d'accéder au
>>> backend,
>>> >> >> admin password ne fonctionnait pas.
>>> >> >> J'ai repris mon bon vieux FireFox pour le développement et je n'ai
>>> pas
>>> >> >> eu de problème (si ce n'est que l'Install Tool boucle).
>>> >> >> Le problème, maintenant, c'est que le login box que j'ai mis
>>> sur le
>>> >> site
>>> >> >> ne fonctionne pas non-plus sous IE.
>>> >> >>
>>> >> >> Quand je travaillais en local (easyPHP) il n'y avait aucun
>>> >> problème, IE
>>> >> >> se connectait et je navigais sur les pages protégées. Je peux
>>> >> également
>>> >> >> me connecter avec IE sur un autre site typo3 qui est hébergé chez
>>> OVH.
>>> >> >> Donc j'imagine qu'IE n'est pas à incriminer.
>>> >> >>
>>> >> >> J'ai pensé qu'il s'agissait de mon code, de ma configuration
>>> Typo3,
>>> >> j'ai
>>> >> >> donc installé Quickstart sur mon serveur et le problème est le
>>> même
>>> :
>>> >> >> pas de login possible, ni au front-end ni au backend.
>>> >> >>
>>> >> >> Pour le backend je boucle sur la page de login, pour le
>>> front-end le
>>> >> >> problème est très curieux puisque la login-box disparaît comme
>>> convenu
>>> >> >> et seules les pages autorisées à l'utilisateur apparaissent
>>> dans le
>>> >> >> menu, seulement dès que je veux y accéder je reviens sur le login.
>>> >> >>
>>> >> >> J'ai suivi les instructions pour l'installation sous IIS qui sont
>>> >> >> fournies dans la doc sans plus de succès, les modifications du
>>> php.ini
>>> >> >> n'ont rien changé (si ce n'est que je perdais SPIP).
>>> >> >>
>>> >> >> Je ne vois plus que le changement d'hébergeur mais ça me chagrine
>>> >> de ne
>>> >> >> pas comprendre le problème.
>>> >> >> _______________________________________________
>>> >> >> TYPO3-france mailing list
>>> >> >> TYPO3-france at lists.netfielders.de
>>> >> >> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>>> >> >>
>>> >> >
>>> >> >
>>> >> >
>>> >> Merci pour la proposition.
>>> >> J'ai jeté un oeil, la ligne session.save_path = /tmp était
>>> désactivée,
>>> >> je l'ai activée, j'ai créé le dossier tmp dans le dossier php et
>>> lui ai
>>> >> attribué les droits de modification. Je dois attendre midi pour
>>> >> redémarrer IIS, que mes collègues mangent.
>>> >> Dans la foulée j'ai attribué le nom de domaine principal à
>>> >> session.cookie_domain
>>> >> C'est bien dans ce sens qu'il faut aller ?
>>> >> _______________________________________________
>>> >> TYPO3-france mailing list
>>> >> TYPO3-france at lists.netfielders.de
>>> >> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>>> >>
>>> >
>>> >
>>> >
>>> Bon,
>>> J'ai redémarré mais toujours rien.
>>> J'ai bien mis session.save_path = \tmp, j'ai créé le dossier et je lui
>>> ai attribué les droits d'écriture.
>>> J'ai ajouté $TYPO3_CONF_VARS['SYS']['doNotCheckReferer'] = '1'; dans mon
>>> fichier localconf.php
>>> Rien de nouveau sous le soleil. C'est déprimant.
>>>
>>> Est-ce que le fait que "register_globals" soit off puisse y être pour
>>> quelquechose ?
>>> De même j'ai vu que mon fichier browscap.ini n'a pas de données pour
>>> IE6, c'est normal ?
>>> _______________________________________________
>>> TYPO3-france mailing list
>>> TYPO3-france at lists.netfielders.de
>>> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>>>
>>
>>
>>
More information about the TYPO3-france
mailing list