[TYPO3-UG France] Problème de login pas banal

Fred hamel at urbansecurity.org
Fri Jun 29 17:23:26 CEST 2007 

J'avais bon pour une chose : mon fichier browscap.ini n'était pas le 
même sur le serveur que sur mon poste. Mon IIS est en version 6 sur le 
serveur et il est logiquement mis à jour automatiquement.

J'ai remplacé browscap.ini et browscap.dll par les miens sans résultat, 
ni pour mon site ni pour le quickstart.

Fred a écrit :
> Donc j'ai adapté, j'ai bien mis les guillemets et les slashs mais il n'y 
> a toujours rien de nouveau.
> J'ai bien vérifié et les droits de modification sont accordés pour le 
> dossier en question.
> Ce qui est réellement rageant c'est qu'il distingue bien qu'un 
> utilisateur est loggué et à quelles pages cet utilisateur a accès.
> De même il n'y a pas de cookie créé quand je me connecte sur le site 
> local mais la navigation se fait convenablement.
> 
> Extrait de mon php.ini :
> 
> [Session]
> ; Handler used to store/retrieve data.
> session.save_handler = files
> 
> ; Argument passed to save_handler.  In the case of files, this is the path
> ; where data files are stored. Note: Windows users have to change this
> ; variable in order to use PHP's session functions.
> ; As of PHP 4.0.1, you can define the path as:
> ;     session.save_path = "N;/path"
> ; where N is an integer.  Instead of storing all the session files in
> ; /path, what this will do is use subdirectories N-levels deep, and
> ; store the session data in those directories.  This is useful if you
> ; or your OS have problems with lots of files in one directory, and is
> ; a more efficient layout for servers that handle lots of sessions.
> ; NOTE 1: PHP will not create this directory structure automatically.
> ;         You can use the script in the ext/session dir for that purpose.
> ; NOTE 2: See the section on garbage collection below if you choose to
> ;         use subdirectories for session storage
> session.save_path = "C:/typo3/session"
> 
> ; Whether to use cookies.
> session.use_cookies = 1
> 
> ; This option enables administrators to make their users invulnerable to
> ; attacks which involve passing session ids in URLs; defaults to 0.
> ; session.use_only_cookies = 1
> 
> ; Name of the session (used as cookie name).
> session.name = PHPSESSID
> 
> ; Initialize session on request startup.
> session.auto_start = 0
> 
> ; Lifetime in seconds of cookie or, if 0, until browser is restarted.
> session.cookie_lifetime = 0
> 
> ; The path for which the cookie is valid.
> session.cookie_path = /
> 
> ; The domain for which the cookie is valid.
> session.cookie_domain =
> 
> ; Handler used to serialize data.  php is the standard serializer of PHP.
> session.serialize_handler = php
> 
> ; Define the probability that the 'garbage collection' process is started
> ; on every session initialization.
> ; The probability is calculated by using gc_probability/gc_divisor,
> ; e.g. 1/100 means there is a 1% chance that the GC process starts
> ; on each request.
> 
> session.gc_probability = 1
> session.gc_divisor     = 100
> 
> ; After this number of seconds, stored data will be seen as 'garbage' and
> ; cleaned up by the garbage collection process.
> session.gc_maxlifetime = 1440
> 
> ; NOTE: If you are using the subdirectory option for storing session files
> ;       (see session.save_path above), then garbage collection does *not*
> ;       happen automatically.  You will need to do your own garbage
> ;       collection through a shell script, cron entry, or some other 
> method.
> ;       For example, the following script would is the equivalent of
> ;       setting session.gc_maxlifetime to 1440 (1440 seconds = 24 minutes):
> ;          cd /path/to/sessions; find -cmin +24 | xargs rm
> 
> ; PHP 4.2 and less have an undocumented feature/bug that allows you to
> ; to initialize a session variable in the global scope, albeit 
> register_globals
> ; is disabled.  PHP 4.3 and later will warn you, if this feature is used.
> ; You can disable the feature and the warning seperately. At this time,
> ; the warning is only displayed, if bug_compat_42 is enabled.
> 
> session.bug_compat_42 = 1
> session.bug_compat_warn = 1
> 
> ; Check HTTP Referer to invalidate externally stored URLs containing ids.
> ; HTTP_REFERER has to contain this substring for the session to be
> ; considered as valid.
> session.referer_check =
> 
> ; How many bytes to read from the file.
> session.entropy_length = 0
> 
> ; Specified here to create the session id.
> session.entropy_file =
> 
> ;session.entropy_length = 16
> 
> ;session.entropy_file = /dev/urandom
> 
> ; Set to {nocache,private,public,} to determine HTTP caching aspects
> ; or leave this empty to avoid sending anti-caching headers.
> session.cache_limiter = nocache
> 
> ; Document expires after n minutes.
> session.cache_expire = 180
> 
> ; trans sid support is disabled by default.
> ; Use of trans sid may risk your users security.
> ; Use this option with caution.
> ; - User may send URL contains active session ID
> ;   to other person via. email/irc/etc.
> ; - URL that contains active session ID may be stored
> ;   in publically accessible computer.
> ; - User may access your site with the same session ID
> ;   always using URL stored in browser's history or bookmarks.
> session.use_trans_sid = 0
> 
> ; The URL rewriter will look for URLs in a defined set of HTML tags.
> ; form/fieldset are special; if you include them here, the rewriter will
> ; add a hidden <input> field with the info which is otherwise appended
> ; to URLs.  If you want XHTML conformity, remove the form entry.
> ; Note that all valid entries require a "=", even if no value follows.
> url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=,fieldset="
> session.save_path= C:\PHP\sessiondata    ; argument passed to save_handler
> 
> 
> 
> Walid Iguer a écrit :
>> Pour ma part, le session.save_path est réglé comme suit: 
>> session.save_path =
>> "D:/TYPO3/session/" et ça fonctionne
>> Par contre pour le browscap.ini, aucune idée, je ne l'ai jamais 
>> utilisé :/
>> Pour register_globals, non, ce n'est pas un problème, petit bout du
>> .htaccess:
>> # TYPO3 works fine with register_globals turned off.
>> # This is highly recommended!
>> # php_flag register_globals off
>>
>> On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>>>
>>> Walid Iguer a écrit :
>>> > Pour le session.save_path, oui, c'est bien dans ce sens qu'il faut
>>> > aller, en
>>> > espérant que ça règlera ton problème, sinon, active le logging des
>>> erreurs
>>> > PHP (toujours via php.ini), ça aidera peut être à trouver d'où vient
>>> > l'erreur plus tard.
>>> > Pour session.cookue_domain, ce n'était pas nécessaire (personnellement
>>> > je ne
>>> > le règle pas et j'ai plusieurs sites TYPO3 hébergés sur mon serveur)
>>> >
>>> > On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>>> >>
>>> >> Walid Iguer a écrit :
>>> >> > Bonjour,
>>> >> > As-tu vérifié côté configuration PHP si le session.save_path était
>>> bien
>>> >> > renseigné et s'il est writable par le serveur Web ?
>>> >> >
>>> >> > On 6/29/07, Fred <hamel at urbansecurity.org> wrote:
>>> >> >>
>>> >> >> Pour commencer voici ma configuration :
>>> >> >> - Serveur dédié windows 2000
>>> >> >> - IIS et framework .net (sites en ASP.NET avec Bdd MS-SQL)
>>> >> >> - PHP 4.3.6
>>> >> >> - MySQL 4.0.18
>>> >> >>
>>> >> >> Sur ce serveur tournent les sites asp.net et un site Spip.
>>> >> >> J'ai installé Typo3 4.11 pour réaliser mon site.
>>> >> >> J'ai eu un premier pépin lorsque j'ai voulu installer via Internet
>>> >> >> Explorer, il était tout simplement impossible d'accéder au 
>>> backend,
>>> >> >> admin password ne fonctionnait pas.
>>> >> >> J'ai repris mon bon vieux FireFox pour le développement et je n'ai
>>> pas
>>> >> >> eu de problème (si ce n'est que l'Install Tool boucle).
>>> >> >> Le problème, maintenant, c'est que le login box que j'ai mis 
>>> sur le
>>> >> site
>>> >> >> ne fonctionne pas non-plus sous IE.
>>> >> >>
>>> >> >> Quand je travaillais en local (easyPHP) il n'y avait aucun
>>> >> problème, IE
>>> >> >> se connectait et je navigais sur les pages protégées. Je peux
>>> >> également
>>> >> >> me connecter avec IE sur un autre site typo3 qui est hébergé chez
>>> OVH.
>>> >> >> Donc j'imagine qu'IE n'est pas à incriminer.
>>> >> >>
>>> >> >> J'ai pensé qu'il s'agissait de mon code, de ma configuration 
>>> Typo3,
>>> >> j'ai
>>> >> >> donc installé Quickstart sur mon serveur et le problème est le 
>>> même
>>> :
>>> >> >> pas de login possible, ni au front-end ni au backend.
>>> >> >>
>>> >> >> Pour le backend je boucle sur la page de login, pour le 
>>> front-end le
>>> >> >> problème est très curieux puisque la login-box disparaît comme
>>> convenu
>>> >> >> et seules les pages autorisées à l'utilisateur apparaissent 
>>> dans le
>>> >> >> menu, seulement dès que je veux y accéder je reviens sur le login.
>>> >> >>
>>> >> >> J'ai suivi les instructions pour l'installation sous IIS qui sont
>>> >> >> fournies dans la doc sans plus de succès, les modifications du
>>> php.ini
>>> >> >> n'ont rien changé (si ce n'est que je perdais SPIP).
>>> >> >>
>>> >> >> Je ne vois plus que le changement d'hébergeur mais ça me chagrine
>>> >> de ne
>>> >> >> pas comprendre le problème.
>>> >> >> _______________________________________________
>>> >> >> TYPO3-france mailing list
>>> >> >> TYPO3-france at lists.netfielders.de
>>> >> >> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>>> >> >>
>>> >> >
>>> >> >
>>> >> >
>>> >> Merci pour la proposition.
>>> >> J'ai jeté un oeil, la ligne session.save_path = /tmp était 
>>> désactivée,
>>> >> je l'ai activée, j'ai créé le dossier tmp dans le dossier php et 
>>> lui ai
>>> >> attribué les droits de modification. Je dois attendre midi pour
>>> >> redémarrer IIS, que mes collègues mangent.
>>> >> Dans la foulée j'ai attribué le nom de domaine principal à
>>> >> session.cookie_domain
>>> >> C'est bien dans ce sens qu'il faut aller ?
>>> >> _______________________________________________
>>> >> TYPO3-france mailing list
>>> >> TYPO3-france at lists.netfielders.de
>>> >> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>>> >>
>>> >
>>> >
>>> >
>>> Bon,
>>> J'ai redémarré mais toujours rien.
>>> J'ai bien mis session.save_path = \tmp, j'ai créé le dossier et je lui
>>> ai attribué les droits d'écriture.
>>> J'ai ajouté $TYPO3_CONF_VARS['SYS']['doNotCheckReferer'] = '1'; dans mon
>>> fichier localconf.php
>>> Rien de nouveau sous le soleil. C'est déprimant.
>>>
>>> Est-ce que le fait que "register_globals" soit off puisse y être pour
>>> quelquechose ?
>>> De même j'ai vu que mon fichier browscap.ini n'a pas de données pour
>>> IE6, c'est normal ?
>>> _______________________________________________
>>> TYPO3-france mailing list
>>> TYPO3-france at lists.netfielders.de
>>> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-france
>>>
>>
>>
>>

More information about the TYPO3-france mailing list