Не работают безопасные cookie - где накосячил?

[RuOrch]

О гуру, помогите включить безопасные куки! Настройки форума прилагаю, с показанными настройками все работает. Включаю безопасные куки и авторизация начинает тут же слетать. Закрытие страниц форума, измнение адреса (с/без www/httpS) - авторизация слетает, причем возврат на предыдущую страницу (back в браузере) тоже невозможен, авторизация слетает безвозвратно. И не у меня одного, многие пользователи подтверждают симптомы на десктопе. С мобил большинство не замечают, но там и браузер по факту не закрывается насовсем.

Отключаю безопасные куки, авторизуюсь - и все снова прекрасно работает, как ни издевайся над адресом (http/https, с или без www, с уходом с форума, с полным перезапуском браузера и т.д.) Хостинг в https умеет при этом... Где админ нарукожопил собака закопана?

cookies.gif

[Nekstati]

(С потолка, не спец по HTTP.) Попробуйте в админке очистить все сессии, чтобы браузерами не использовались куки, установленные до переключения сайта на https и secure cookies.
 

измнение адреса (с/без www/httpS) - авторизация слетает

 
>>> When a cookie has the Secure attribute, the user agent will include the cookie in an HTTP request only if the request is transmitted over a secure channel (typically HTTPS).

[RuOrch]

Попробуйте очистить все сессии, чтобы браузерами не использовались куки, установленные до переключения на https.

Не оно, убивал все куки на диске в ходе экспериментов - не помогало.

[Татьяна5]

Имя домена - без www.
Имя куки при экспериментах меняйте

[RuOrch]

Имя домена - без www.
Имя куки при экспериментах меняйте

У меня принудительная подстановка www, чтобы не было проблем с каноничностью. Но этот вариант я уже пробовал, не влияет. Имя кукам тоже обновлял и после изменения каждой настройки сносил все установленные куки, тоже ничего не дало. Вообще в моем случае переименование кук не требуется, если настройки форума правильные, рабочие, браузер сразу их нормально цепляет.

Тут что-то другое... я вообще не понимаю, что должна давать эта настройка при условии, что на форуме принудительно выставлено использование https (правило в .htaccess) - куки же при этом тоже должны неизбежно отдаваться по https?

[Pazh]

RuOrch, опытным путем я пришел к таким настройкам для корректной работы https и cookies (красным указаны обязательные пункты):

Screenshot_2.jpg

Screenshot_3.jpg

вне зависимости есть www или нет - домен cookies лучше выставить в виде .domen.ru если конечно у Вас нет на данном доменне сайта или другого поддомена с чем-нибудь еще.
Если форум до этого работал без https, то именить имя cookies обязательно, если не хотите объяснять каждому пользователю "Как очищать cookies во всех типах браузеров"

[Pazh]

Т.к. у Вас форум в папке, можете попробовать в Путь cookie указать /fora
А вот от такой реализации redirect-а с домена в папку через meta-refresh (как сделано у Вас) нужно избавляться, и делать через конфигурацию nginx

[RuOrch]

Pazh, спасибо, попробую на досуге на чистой конфе, чтобы пользователи не побили А Вы знаете, что т.с. с технической стороны означает принудительное указание https и безопасных кук в настройках движка? Справку курил, но там только общие слова. Вот у меня хостинг поддерживает https, но раньше принудительной переадресации на него не было, кто как хотел - так и ходил. Включил на форуме принудительные настройки - ничего не изменилось, хотя я думал, будет автоматом s подставлять после http. А тогда в чем смысл этой настройки? И тот же вопрос по безопасным кукам - это что и как? А то может я фигней страдаю оно все и так безопасное уже средствами одного Апача

А вот от такой реализации redirect-а с домена в папку через meta-refresh (как сделано у Вас) нужно избавляться, и делать через конфигурацию nginx

Из каких соображений?

[Pazh]

1. не хорошо когда на сайт можно ходить и по http и по https - лучше выбрать один из протоколов, а для второго сделать редирект
2. Принудительное включение https в админке форума приведет ТОЛЬКО к тому, что все внутренние ссылки будут https вне зависимости от того по какому протоколу пришел пользователь, НО вход его все равно при этом будет по протоколу входа (именно для этого и настраивается редирект на уровне сервера)
3. безопасные куки работают нормально только при входе по https
4. еще один минус разрешения входа по обоим протоколам - юзеры будут оставлять внутренние ссылки в посты в том протоколе, в каком вошли, а потом когда другой юзер зайдет по другому протоколу и перейдет по этой ссылке - получите разлогиневание

Из каких соображений?

редирект происходит не на стороне сервера, а на стороне браузера юзера, т.е. вы ему возвращаете страницу html c 200 кодом, в которой тут же обновляется страница с другим адресом и протоколом - т.е. браузер юзера обработает две страницы. А если настроили редирект на стороне сервера (в вашем случае nginx), то редиректом будет с 301 кодом - это хорошо для поисковиков и браузеру пользователя будет возвращена сразу нужная

Отправлено спустя 5 минут 31 секунду:
Посмотрите разницу между (особенно на итоговый код страницы):
https://bertal.ru/index.php?a6938587/phpbbguru.net/#h - правильный редирект
и
https://bertal.ru/index.php?a6938592/ruorchids.ru/#h - неправильный редирект (еще и кодировка win-1251)

Отправлено спустя 3 минуты 25 секунд:
И вообще смысл в Вашем случае держать форум в папке? Если домен пустой

[Siava]

А я опытным путём пришёл к тому, что поле домен cookie вообще пустое. Таким образом кука форума не распространяется на поддомены как в случае с точкой вначале.

И принудительные настройки сервера необходимы только если сервер криво настроен. Использование fastcgi_param SERVER_PORT 443; и fastcgi_param HTTPS on; для nginx в секции php решает

[RuOrch]

Pazh,
1. Это только первая страница по http отдается, которая в корне домена, форум весь на https Это отдельная история борьбы была, когда ставлю редирект в корневом .htaccess форум его игнорирует. Ставлю в .htaccess который в папке форума - его начинает колбасить. Экспериментальным путем выяснил, что колбас проходит, если строки редиректа добавить последними
2. У меня не приводило, т.е. зашел через http - и дальше хожу через него же. Если руками s добавлю в адресе, тогда да. Вот и не понял, в чем смысл этой настройки.
3. Эт я понимаю, не понимаю, чем некие безопасные по версии движка куки будут отличаться от принудительной переадресации средствами .htaccess
4. Нет-нет, сейчас все сидят строго на https и вроде уже не пищат, устаканилось все тьфу-тьфу-тьфу
5. Вы правы, конечно, перфекционизм требует 301 кода, а не костылей... так, на скорую руку слабал
6. Форум заливался, когда планировалось сделать еще несколько разделов на сайте. Потом эта идея заглохла, а форум уже проиндексирован, у многих стоят закладки в браузере на темы. Перенос вызовет массу негатива и ни одного позитивного последствия, кроме приступа перфекционизма у меня

Отправлено спустя 1 минуту 56 секунд:

И принудительные настройки сервера необходимы только если сервер криво настроен.

Т.е. если https работает и без принудительных настроек, их и не надо трогать, ничего они не дадут сверх? А что с безопасными куки, это тоже костыль для криворуких админов/хостеров, или есть какой-то дополнительный смысл?

[Siava]

RuOrch, в common.php (а также в Request.php "симфонии" и ещё в паре других файлов) форума есть следующее:

Код: Выделить всё

	$server_name = (!empty($_SERVER['HTTP_HOST'])) ? strtolower($_SERVER['HTTP_HOST']) : ((!empty($_SERVER['SERVER_NAME'])) ? $_SERVER['SERVER_NAME'] : getenv('SERVER_NAME'));
	$server_port = (!empty($_SERVER['SERVER_PORT'])) ? (int) $_SERVER['SERVER_PORT'] : (int) getenv('SERVER_PORT');
	$secure = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 1 : 0;

	if (!empty($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https')
	{
		$secure = 1;
		$server_port = 443;
	}

То есть, чтобы без принудительных настроек всё работало сервер должен правильно отдавать переменные:

Код: Выделить всё

$_SERVER['HTTP_HOST']
$_SERVER['SERVER_NAME']
$_SERVER['SERVER_PORT']
$_SERVER['HTTPS']
$_SERVER['HTTP_X_FORWARDED_PROTO']

при открытии http-страниц и при открытии https-страниц выдавать соответствующие правильные значения этих переменных.

Принудительные настройки сервера позволяют принудительно задать те значения, которые вам нужны, если сервер самостоятельно их не отдаёт. Костыль в общем, но рабочий костыль)

[RuOrch]

Siava, хм, выдает соответственно такое:
ruorchids.ru
ruorchids.ru
(none)
on
(none)
но при этом работает https без принудительных настроек... это нормально?

А можете еще так же понятно объяснить, зачем безопасные куки? Это имеется в виду, что они с флагом Secure? Если да, то принудительная переадресация на https не делает ли по сути то же самое?

[Siava]

RuOrch, ваш сервер отдаёт $_SERVER['HTTPS'] = on, что правильно, поэтому работает без принудительных настроек. Это как раз нормально
А куки с флагом secure нужны для защиты от XSS-атаки связанной с перехватом куки. По хорошему, при использовании https необходимо использовать безопасные куки. Но можно и не использовать, рискуя тем самым.

[RuOrch]

Siava, спасибо, Вы среди меня все разъяснили и успокоили

уки с флагом secure нужны для защиты от XSS-атаки связанной с перехватом куки

Это я знаю, я другого не знаю: "безопасные куки" в настройках форума - это они или что-то другое имеется в виду? В этом проблема настройки: можно сколько угодно глубоко знать матчасть, но когда она описывается общими словами, без ссылок на знакомые термины...