La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: hell0 le 29 mai 2016 à 13:48:36
-
Bonjour :)
J'ai eu un soucis en copiant l'adresse d'un lien d'une page de lafibre.info et en le postant ensuite sur l'IRC, la variable PHPSESSID était présente en GET dans l'adresse du lien et j'appuyé trop rapidement sur entrée; du coup le lien était sur l'IRC avec cette variable...
Du coup le seul truc que j'ai pu faire c'est me déconnecter de lafibre.info mais ce n'est pas le top que cette variable se retrouve dans les liens je pense car pourtant j'avais les cookies activés dans mon navigateur...
-
Salut,
Le forum ne vérifie pas l'IP attachée à la session ?
-
Comment tu fais pour faire un copier / coller que donne la variable PHPSESSID ?
En IPv4 le forum FAI peut-être une vérification, en IPv6, tous les clients en IPv6 sont vus du forum comme ayant l'IP 0.0.0.0
Quand vous regardez en bas de la page d’accueil l'information "250 Invités, 31 Membres" c'est en fait 249 membres IPv4 et 1 en IPv6 qui regroupe tous les lecteurs non enregistrés en IPv6.
-
Je suis en ipv6 avec cookie activé et je n'ai jamais vu de php SID sur ce forum (quand je surfe).
-
Comment tu fais pour faire un copier / coller que donne la variable PHPSESSID ?
J'ai fait un "copier l'adresse du lien" offres d'emploi sur la page d'accueil du forum (via https en IPv4) et ça m'a donné ça :
https://lafibre.info/offres-emploi/?PHPSESSID=gt3lq8c2e154nid6h07sip7bm6
C'est bizarre...
Faudrait que j'essaye de désactiver les cookies pour voir si ça le fait.
Il y a peut être un système qui choisi automatiquement soit GET soit cookies pour les variables.
-
Je viens de tester en désactivant les cookies et ça affiche bien la variable en GET : https://lafibre.info/evolution/?PHPSESSID=xxxxxxxxxxxxxxxx
C'est peut être un bug que la variable s'affiche en GET quand il y a les cookies activés
-
Quel est ton navigateur ?
Cet dans l'info URL standard ou tu utilises une extension pour faire des choses sur l'URL ?
-
Quel est ton navigateur ?
Cet dans l'info URL standard ou tu utilises une extension pour faire des choses sur l'URL ?
J'utilise firefox sans extension particulière
-
En fait cela me l'a fais une fois tout à l'heure mais là je n'arrive pas à reproduire le bug avec les cookies activés.
Il faudrait que je fasse un script pour récupérer le GET dans les URL du code html automatiquement si il est présent alors qu'il y a les cookies activés pour voir facilement si ça le refait.
-
https://secure.php.net/manual/fr/session.configuration.php#ini.session.use-cookies
session.use_cookies booléen
Spécifie si le module utilisera les cookies pour stocker l'id de session côté client. Par défaut, il vaut 1, c'est-à-dire actif.
session.use_only_cookies booléen
Spécifie si le module doit utiliser seulement les cookies pour stocker les identifiants de sessions du côté du navigateur. En l'activant, vous éviterez les attaques qui utilisent des identifiants de sessions dans les URL. Cette configuration a été ajoutée en PHP 4.3.0. Par défaut, vaut 1 (activé) depuis PHP 5.3.0.
-
J'ai fait un "copier l'adresse du lien" offres d'emploi sur la page d'accueil du forum (via https en IPv4) et ça m'a donné ça :
https://lafibre.info/offres-emploi/?PHPSESSID=gt3lq8c2e154nid6h07sip7bm6
C'est bizarre...
Faudrait que j'essaye de désactiver les cookies pour voir si ça le fait.
Il y a peut être un système qui choisi automatiquement soit GET soit cookies pour les variables.
cherche pas.
tout simplement que ton navigateur n'arrive pas à écrire le cookie.
et donc le forum passe en mode PHPSESSID pour garder la session...
vide ton cache, ou passe par un autre navigateur
-
Le forum ne vérifie pas l'IP attachée à la session ?
Quelle adresse IP attachée?
Pour quoi attacher une adresse IP?
-
Quelle adresse IP attachée?
Pour quoi attacher une adresse IP?
Souvent l'applicatif PHP stocke l'adresse IP qui a ouvert la session, si une adresse IP essaie de charger une session qu'elle n'a pas ouverte alors la session est fermée et l'utilisateur doit se reconnecter.
-
Je change souvent d'adresse IP, je commence en IPv6, passe ensuite par Tor, je me connecte à un point d'accès ou un autre, et tu peux compter sur le fait que si j'étais enquiquiné par le logiciel il y aurait des tombereaux d'insultes sur le forum.
-
De toute façon avec ce que Vivien a dit sur la gestion d'IPv6 ce n'était plus envisageable que le forum fonctionne de cette façon.
-
en quoi?
-
en quoi?
Ben puisque vivien dit que le forum traite les membres connectés en IPv6 comme ayant l'IP 0.0.0.0, je me dis qu'il y aurait eu des chances qu'il fasse de même sur le mécanisme de validation des sessions s'il y en avait eu un.
-
Oui mais en passant par Tor je repasse forcèment en IPv4, donc l'adresse est parfois 0 et parfois pas.
Bref il n'y a certainement aucune vérification d'adresse IP sur ce logiciel!
-
cherche pas.
tout simplement que ton navigateur n'arrive pas à écrire le cookie.
et donc le forum passe en mode PHPSESSID pour garder la session...
vide ton cache, ou passe par un autre navigateur
N'importe quoi, le logiciel met en effet parfois un tel paramètre, et il est difficile de comprendre pourquoi.
-
cherche pas.
tout simplement que ton navigateur n'arrive pas à écrire le cookie.
et donc le forum passe en mode PHPSESSID pour garder la session...
NON
C'est dès que SMF ne détecte pas de cookie : si je vais sur https://lafibre.info/login/ dans une sessions neuve (cookie jar vide), je reçois
Set-Cookie:PHPSESSID=mlie0tolfv2ti7fg08f6379r43; path=/
et les liens de SMF contiennent tous le SID en paramètre, p.ex.
https://lafibre.info/index.php?PHPSESSID=mlie0tolfv2ti7fg08f6379r43
https://lafibre.info/help/?PHPSESSID=mlie0tolfv2ti7fg08f6379r43