| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
ans
Neuer User
Anmeldungsdatum: 22.06.2009
Beiträge: 2
|
 22.06.2009 20:07 Problem mit Authentifizierung (Firefox-Problem?) |
 |
|
Hallo zusammen,
ich betreue ein Web-Plattform und wir haben seit einiger Zeit Schwierigkeiten mit der Authentifizierung von Firefox-Nutzern. Das Problem zeigt sich dadurch, dass User, die sich am System anmelden und auf einen Link des geschützten Bereichs klicken, sofort wieder ausgeloggt werden. Für die Authentifikation wird das Auth-Paket von PEAR eingesetzt. Im Laufe der 3er Versionen des Firefox hat sich die Situation weiter zugespitzt. Nachdem anfangs nach dem Löschen von Cache und Cookies im Browser wieder eine "normale" Anmeldung am System möglich war, gibt es nun einige Nutzer bei denen diese Strategie nicht mehr hilft.
Mich würde interessieren, ob hier jemand ähnliche Erfahrungen gemacht hat oder mir vielleicht eine Anregung für die Fehlersuche geben könnte. Im folgenden sind die Header zweier Login-Versuche aufgeführt. Merkwürdig finde ich, dass dem Cookie beim ersten Versuch scheinbar zwei Session-IDs zugeordnet sind. Wie kann es dazu kommen?
Zunächst die Eckdaten des Servers:
Windows Server 2008
Apache 2.2.11 mit OpenSSL 0.9.8i
PHP 5.2.9-1
PEAR Auth 1.6.1
PostgreSQL 8.3
Mit LiveHTTPHeaders 0.15 und Firefox 3.0.11 aufgezeichnete Header:
1. Anmeldung am System mit Rauswurf nach Klick auf einen Link des geschützten Bereichs:
| Code: |
https://www.testurl.de/secimage.php?sessionType=Student
GET /secimage.php?sessionType=Student HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php?action=login
Cookie: moveonline_cooperations=4304e99d60ba33d2caca5fcbe13f0490; PHPSESSID=a1823f4b50f1eedc364e0d5581eb5a65; PHPSESSID=4un3jccig2nkhdjfsd4omojbqvdo9ioe; authchallenge=777f6d289cbf101ecd1e29f47e653868
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:22:10 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1369
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: image/jpeg
----------------------------------------------------------
https://www.testurl.de/index.php
POST /index.php HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php?action=login
Cookie: moveonline_cooperations=4304e99d60ba33d2caca5fcbe13f0490; PHPSESSID=a1823f4b50f1eedc364e0d5581eb5a65; PHPSESSID=4un3jccig2nkhdjfsd4omojbqvdo9ioe; authchallenge=777f6d289cbf101ecd1e29f47e653868
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
username=USER&password=PASSWORD&securityImage.x=0&securityImage.y=0&secImageRepeat=29811
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:22:18 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=88br8djd21b5g57e1bkie1nu2betpcbb; path=/
Set-Cookie: authchallenge=2facdfff61d1c1ac104fae715b1d1150; path=/
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------
https://www.testurl.de/listpruefungen.php?searchstr=
GET /listpruefungen.php?searchstr= HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php
Cookie: moveonline_cooperations=4304e99d60ba33d2caca5fcbe13f0490; PHPSESSID=a1823f4b50f1eedc364e0d5581eb5a65; PHPSESSID=88br8djd21b5g57e1bkie1nu2betpcbb; authchallenge=2facdfff61d1c1ac104fae715b1d1150
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:22:20 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------
|
2. Anmeldung am System ohne Rauswurf (nach Löschen von Cache und Cookies im Browser):
| Code: |
https://www.testurl.de/secimage.php?sessionType=Student
GET /secimage.php?sessionType=Student HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/
Cookie: PHPSESSID=mprbd67rkbkutbfdamcrp0pfaddcr4an
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:44:56 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1363
Keep-Alive: timeout=5, max=98
Connection: Keep-Alive
Content-Type: image/jpeg
----------------------------------------------------------
https://www.testurl.de/index.php
POST /index.php HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/
Cookie: PHPSESSID=mprbd67rkbkutbfdamcrp0pfaddcr4an
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
username=USER&password=PASSWORD&securityImage.x=0&securityImage.y=0&secImageRepeat=20440
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:45:05 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=n2vffovvkq190sfn24mo6gdu59ccfkn4; path=/
Set-Cookie: authchallenge=a76b6d132882415dbde2ff450732bc4e; path=/
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------
https://www.testurl.de/listpruefungen.php?searchstr=
GET /listpruefungen.php?searchstr= HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php
Cookie: PHPSESSID=n2vffovvkq190sfn24mo6gdu59ccfkn4; authchallenge=a76b6d132882415dbde2ff450732bc4e
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:45:06 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------
https://www.testurl.de/images/info.gif
GET /images/info.gif HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/listpruefungen.php?searchstr=
Cookie: PHPSESSID=n2vffovvkq190sfn24mo6gdu59ccfkn4; authchallenge=a76b6d132882415dbde2ff450732bc4e
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:45:07 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
Last-Modified: Mon, 08 Jun 2009 12:21:05 GMT
Etag: "8000000004525-58-46bd546b8dba1"
Accept-Ranges: bytes
Content-Length: 88
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: image/gif
----------------------------------------------------------
|
|
|
| Nach oben |
|
 |
MaGdev
Site Admin
Anmeldungsdatum: 04.02.2004
Beiträge: 715
Wohnort: Hamburg
|
| 22.06.2009 21:51 |
|
|
Kurze Frage aus Erfahrung: Ist zufällig die Auth-Option "advancedsecurity" aktiviert und werden im Hintergrund AJAX-Requests gemacht? Falls dem so ist musst du die Authentifizierung auch bei jedem Aufruf des AJAX-Servers abfragen damit das authchallenge-Cookie aktualisiert wird....
Ansonsten sind mir derartige Probleme noch nicht aufgefallen.
Viele Grüße,
marco
_________________
Auch der längste Weg beginnt immer mit einem kleinem Schritt!
Vorgehen bei Problemen:
1. PHP-Handbuch oder PEAR-Handbuch lesen!
2. Forensuche benutzen!
3. Fragen posten und dabei die Regeln beachten! |
|
| Nach oben |
|
|
ans
Neuer User
Anmeldungsdatum: 22.06.2009
Beiträge: 2
|
| 24.06.2009 20:57 |
|
|
Hallo,
erst einmal vielen Dank für deine Rückmeldung. AJAX-Techniken verwenden wir nicht auf unserer Seite. Und die Option "advancedsecurity" ist auch nicht gesetzt.
Was mich noch im Zusammenhang mit dem Auth-Framework interessieren würde: Gibt es da eventuell die Möglichkeit, das explizite Löschen eines Cookies zu erzwingen? Damit müsste sich doch die doppelte Session-ID vermeiden lassen, oder?
Grüße |
|
| Nach oben |
|
|
MaGdev
Site Admin
Anmeldungsdatum: 04.02.2004
Beiträge: 715
Wohnort: Hamburg
|
| 27.06.2009 23:58 |
|
|
So - sorry für die Abwesenheit
Was passiert, wenn die Auth-Option 'regenerateSessionId' auf true gesetzt wird? Testhalber vielleicht auch mal mit der Option 'sessionName' einen neuen Namen für die Session vergeben (um zu testen, das es wirklich an Auth liegt) - mir persönlich sind in den letzten jahren derartige Mätzchen von Auth jedenfalls nicht untergekommen.
Ansonsten werden wir ohne den Code wo du Auth instanzierst nicht weiterkommen...
Viele Grüße und schönes WE,
Marco
_________________
Auch der längste Weg beginnt immer mit einem kleinem Schritt!
Vorgehen bei Problemen:
1. PHP-Handbuch oder PEAR-Handbuch lesen!
2. Forensuche benutzen!
3. Fragen posten und dabei die Regeln beachten! |
|
| Nach oben |
|
|
|
|
|
Zu Deinen Favoriten hinzufügen
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen
|
|
