Problème de connexion

[NicoM]

Salut,
Ben c’est tout simple, Samy et l’Ours ne peuvent plus se connecter

[sly]

Ouep, on est au courant avec dominique. Y'a une histoire de cookie qui contient trop de chocolat, ça a rendu malade leurs navigateurs (et probablement celui de 98% des utilisateurs car il ne savent pas supprimer un cookie ou enclencher le mode "navigation anonyme"): En voulant remettre au propre une config bancale de cookie, j'ai fais foirer les authentifications sans savoir pourquoi.

Le problème c'est qu'on a pour l'instant pas de diagnostic définitif et qu'il est tard ! Et que j'ai peur que rajouter du chocolat en urgence ne règle rien...

Dominique a tenté de rajouter de la poudre de perlinpinpin, réponse demain.

Pour ceux qui ne peuvent pas attendre et/ou qui veulent participer au diagnostic :
chrome -> nouvelle fenêtre en mode inconito
firefox -> nouvelle fenêtre de navigation privée
devrait vous permettre de venir écrire "ça marche pas chez moi"

[Dominique]

Salut à tous

J'ai fait une correction générale qui semble marcher chez moi.
Pouvez-vous me dire si c'est mieux ?

Il faut dire qu'on est un peu dans le brouillard avec la fonction d'identification du forum qui est volontairement complexe pour luter contre les petits malins et qui se retourne contre nous parce qu’on veut l’utiliser pour contrôler l'accès aux fiche.
Désolé pour le dérangement.

[Claude Mauguier]

Salut à tous

J'ai fait une correction générale qui semble marcher chez moi.
Pouvez-vous me dire si c'est mieux ?

Il faut dire qu'on est un peu dans le brouillard avec la fonction d'identification du forum qui est volontairement complexe pour luter contre les petits malins et qui se retourne contre nous parce qu’on veut l’utiliser pour contrôler l'accès aux fiche.
Désolé pour le dérangement.

Il est 9h28 Dr Schweitzer, et ça marche.... Je ne boirai pas de chocolat ce matin

P.S. As-tu vu le troll sur chemineur ???

[sly]

J'ai fait une correction générale qui semble marcher chez moi.
Pouvez-vous me dire si c'est mieux ?

Tentative du bureau où mon navigateur dispose des vieux cookies*: tout marche. (Obligé de me reconnecter, mais c'est largement acceptable)


== tech pour dom ==
Je vois la solution retenue, et j'ai honte de ne pas y avoir pensé hier soir. Mon esprit n'était pas vif, j'ai bien fait de ne pas ajouter de chocolat !

Par contre, en bon perfectionniste, je me suis permis de déplacer la ligne de code dans le config_privee.php (propre à l'instance www) et de rétablir le config.php vu qu'il n'y avait pas eu de commit et qu'on a pas de raison de pousser ça vers les zones dév. A choisir si on pérennise par un commit ou qu'on attend un an avant de revenir à l'ancien cookie_name
Note qu'avec ton idée toute simple, tu pouvais remettre cookie_domain a vide. Ce qu'on devrait d'ailleurs faire (mais j'ose plus tout re-casser ! ) car je pense que ceux qui utilisent http(s)://refuges.info/forum sans le www (ils doivent être rare ) pourraient avoir des déconnexions intempestives.
zone de dév : ok

Cet incident m'inspire une réflexion de prudence : A supposer qu'un jour, une mise à jour ou un besoin de trafiquer les cookies à nouveau re-cause ce type de conflit, la présence de cookies de validité 1 an n'est-elle pas une épée de damoclès qui pourrait nous en exiler certains pendant 1 an ?
Je sais bien que c'est pratique de ne presque jamais avoir besoin de se connecter, et j'étais le premier à me satisfaire de cette fonctionnalité, mais devant le risque que je ne perçois que maintenant, baisser ça à 20 jours serait il acceptable ?


* domaine .refuges.info et cookie name phpbb3_wri

[Dominique]

Note qu'avec ton idée toute simple, tu pouvais remettre cookie_domain a vide. Ce qu'on devrait d'ailleurs faire (mais j'ose plus tout re-casser ! ) car je pense que ceux qui utilisent http(s)://refuges.info/forum sans le www (ils doivent être rare ) pourraient avoir des déconnexions intempestives.

J'ai laissé le cookie_domain à w.r.i parce que c'est sensé offrir une protection. J'ignore laquelle mais je n'ai pas envie de tester sur un gros site pas mal attaqué. De plus ça a donné satisfaction jusque là et ça ne gène plus le dev.

Par contre, en bon perfectionniste, je me suis permis de déplacer la ligne de code dans le config_privee.php (propre à l'instance www) et de rétablir le config.php vu qu'il n'y avait pas eu de commit et qu'on a pas de raison de pousser ça vers les zones dév.

Oui, c'est la meilleure solution. ça n'a rien à faire dans le code
J'ai mis la modif dans le git et ce sera la solution définitive.
Je l'avais laissé dans le code général car j'avais l'ambition de le retrouver automatiquement dans la base mais ça s'avère compliqué et peut être pas pérenne si PhpBB change de stratégie de sécurité (et c'est un sujet fort travaillé !)

A choisir si on pérennise par un commit ou qu'on attend un an avant de revenir à l'ancien cookie_name

Bof, non pourquoi ? Il peut rester comme ça. A l'origine, il y a un salt dedans, alors wri3 ou autre chose...
L'essentiel c'est d'avoir le même dans l'admin et dans le conf_privée.
Et avoir un préfixe cookie dans la base de prod et un autre dans la base de test est logique et sain.

Cet incident m'inspire une réflexion de prudence : A supposer qu'un jour, une mise à jour ou un besoin de trafiquer les cookies à nouveau re-cause ce type de conflit, la présence de cookies de validité 1 an n'est-elle pas une épée de Damoclès qui pourrait nous en exiler certains pendant 1 an ?
Je sais bien que c'est pratique de ne presque jamais avoir besoin de se connecter, et j'étais le premier à me satisfaire de cette fonctionnalité, mais devant le risque que je ne perçois que maintenant, baisser ça à 20 jours serait il acceptable ?

Il y a la fonction d'admin "purger toutes les sessions" qui a bien marché ce matin. Et le changement de nom de cookie en dernière extrémité. La fonction rester connecté à vie me va bien.

[sly]

Il y a la fonction d'admin "purger toutes les sessions" qui a bien marché ce matin. Et le changement de nom de cookie en dernière extrémité. La fonction rester connecté à vie me va bien.

Je suis convaincu que ce qui a marché, c'est avant tout le changement de nom de cookie. Car les navigateurs des membres, j'en fais le pari, ont quasi tous l'ancien "phpBB3_wri" en stock, et vont le garder encore 1 an, et c'est ce truc qu'on a pas moyen de virer facilement. Et donc si un jour, chez phpBB ils collent en dur un nom de cookie, là on va devoir expliqué à tous comment supprimer un cookie... ou s'exiler 1 an !

Bon, ben, disons que le gain en vaut le risque : ok, ne changeons rien

[Dominique]

Suite et fin : j'ai fait les modifs pour rendre l'interconnexion forum - autorisations des fiches indépendante du nom du cookie et basée sur des primitives standard de phpBB.
On peut mettre le nom de cookie et de domaine de cookie qu'on veut, on aura peut-être des problèmes de PhpBB mais plus de conf privée et d’interconnexion fiches.
Si j'avais bien fini mon travail la première fois, on n'aurait pas eu les problèmes récents.
Tu peux enlever cookie_prefix de ta conf privée. D'ailleurs, cet identifiant n’apparaît plus dans le code de WRI

[Claude Mauguier]

[Car les navigateurs des membres, j'en fais le pari, ont quasi tous l'ancien "phpBB3_wri" en stock, et vont le garder encore 1 an, et c'est ce truc qu'on a pas moyen de virer facilement. Et donc si un jour, chez phpBB ils collent en dur un nom de cookie, là on va devoir expliqué à tous comment supprimer un cookie... ou s'exiler 1 an !

J'ai bien essayé au moins d'aller voir...mais FF n'accepte que la suppression de TOUS les cookies et pas d'un seul. Donc rebelote en allant sur dev/inspector....va-t-en trouver LE cookie phpBB_wri dans cette soupe...

Ceci étant, "connecté à vie" ça me plait bien. Je vote pour !

[Dominique]

Pour effacer les cookies d'1 site sur FF :
- Se connecter sur le site
- cliquer gauche sur le (I) à gauche de l'adresse du site
- cliquer sur "Effacer les cookies et les données du site" (en bas du menu)
- cliquer sur OK

Ceci dit, il n'y a aucun inconvénient à laisser un vieux cookie qu'on n'utilisera plus jamais pendant 1 an dans un explorateur de quelqu'un qui ne fait pas le ménage : ça ne tient pas de place, ne gène en rien et ne contient aucune information gênante.

Pour finir, la panade dans laquelle nous nous sommes trouvés est uniquement due à une bidouille infâme que j'avais laissé dans le code quand j'ai réinterfacé PhpBB3 et qui n'a laissé aucune chance de s'en sortir à mon cher collègue SLY quand il a fait des manips, pourtant simples, sur le domaine du cookie.
Avec mes plus humbles excuses...

J'ai maintenant recodé cette partie de façon plus normale et on ne devrait plus rencontrer ce genre de problèmes par la suite.