Отключаю безопасные куки, авторизуюсь - и все снова прекрасно работает, как ни издевайся над адресом (http/https, с или без www, с уходом с форума, с полным перезапуском браузера и т.д.) Хостинг в https умеет при этом... Где
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Не работают безопасные cookie - где накосячил?
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Мини [FAQ] по phpBB 3.1.x/3.2.x | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Мини [FAQ] по phpBB 3.1.x/3.2.x | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ).
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 7 лет 3 месяца
- Благодарил (а): 1 раз
Не работают безопасные cookie - где накосячил?
О гуру, помогите включить безопасные куки! Настройки форума прилагаю, с показанными настройками все работает. Включаю безопасные куки и авторизация начинает тут же слетать. Закрытие страниц форума, измнение адреса (с/без www/httpS) - авторизация слетает, причем возврат на предыдущую страницу (back в браузере) тоже невозможен, авторизация слетает безвозвратно. И не у меня одного, многие пользователи подтверждают симптомы на десктопе. С мобил большинство не замечают, но там и браузер по факту не закрывается насовсем.
Отключаю безопасные куки, авторизуюсь - и все снова прекрасно работает, как ни издевайся над адресом (http/https, с или без www, с уходом с форума, с полным перезапуском браузера и т.д.) Хостинг в https умеет при этом... Гдеадмин нарукожопил собака закопана?
Отключаю безопасные куки, авторизуюсь - и все снова прекрасно работает, как ни издевайся над адресом (http/https, с или без www, с уходом с форума, с полным перезапуском браузера и т.д.) Хостинг в https умеет при этом... Где
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Поддержка
- Сообщения: 3336
- Стаж: 15 лет 1 месяц
- Благодарил (а): 25 раз
- Поблагодарили: 590 раз
Re: Не работают безопасные cookie - где накосячил?
(С потолка, не спец по HTTP.) Попробуйте в админке очистить все сессии, чтобы браузерами не использовались куки, установленные до переключения сайта на https и secure cookies.
>>> When a cookie has the Secure attribute, the user agent will include the cookie in an HTTP request only if the request is transmitted over a secure channel (typically HTTPS).
>>> When a cookie has the Secure attribute, the user agent will include the cookie in an HTTP request only if the request is transmitted over a secure channel (typically HTTPS).
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 7 лет 3 месяца
- Благодарил (а): 1 раз
Re: Не работают безопасные cookie - где накосячил?
Не оно, убивал все куки на диске в ходе экспериментов - не помогало.
-
- Поддержка
- Сообщения: 12425
- Стаж: 12 лет 8 месяцев
- Благодарил (а): 166 раз
- Поблагодарили: 2477 раз
Re: Не работают безопасные cookie - где накосячил?
Имя домена - без
Имя куки при экспериментах меняйте
www.
Имя куки при экспериментах меняйте
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 7 лет 3 месяца
- Благодарил (а): 1 раз
Re: Не работают безопасные cookie - где накосячил?
У меня принудительная подстановка www, чтобы не было проблем с каноничностью. Но этот вариант я уже пробовал, не влияет. Имя кукам тоже обновлял и после изменения каждой настройки сносил все установленные куки, тоже ничего не дало. Вообще в моем случае переименование кук не требуется, если настройки форума правильные, рабочие, браузер сразу их нормально цепляет.
Тут что-то другое... я вообще не понимаю, что должна давать эта настройка при условии, что на форуме принудительно выставлено использование https (правило в .htaccess) - куки же при этом тоже должны неизбежно отдаваться по https?
-
- Former team member
- Сообщения: 2317
- Стаж: 14 лет 5 месяцев
- Благодарил (а): 37 раз
- Поблагодарили: 261 раз
Re: Не работают безопасные cookie - где накосячил?
RuOrch, опытным путем я пришел к таким настройкам для корректной работы https и cookies (красным указаны обязательные пункты):
вне зависимости есть www или нет - домен cookies лучше выставить в виде
Если форум до этого работал без https, то именить имя cookies обязательно, если не хотите объяснять каждому пользователю "Как очищать cookies во всех типах браузеров"
.domen.ru
если конечно у Вас нет на данном доменне сайта или другого поддомена с чем-нибудь еще.Если форум до этого работал без https, то именить имя cookies обязательно, если не хотите объяснять каждому пользователю "Как очищать cookies во всех типах браузеров"
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Помощь в ЛС/email только за WM или ЮMoney
-
- Former team member
- Сообщения: 2317
- Стаж: 14 лет 5 месяцев
- Благодарил (а): 37 раз
- Поблагодарили: 261 раз
Re: Не работают безопасные cookie - где накосячил?
Т.к. у Вас форум в папке, можете попробовать в Путь cookie указать
А вот от такой реализации redirect-а с домена в папку через meta-refresh (как сделано у Вас) нужно избавляться, и делать через конфигурацию nginx
/fora
А вот от такой реализации redirect-а с домена в папку через meta-refresh (как сделано у Вас) нужно избавляться, и делать через конфигурацию nginx
Помощь в ЛС/email только за WM или ЮMoney
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 7 лет 3 месяца
- Благодарил (а): 1 раз
Re: Не работают безопасные cookie - где накосячил?
Pazh, спасибо, попробую на досуге на чистой конфе, чтобы пользователи не побили А Вы знаете, что т.с. с технической стороны означает принудительное указание https и безопасных кук в настройках движка? Справку курил, но там только общие слова. Вот у меня хостинг поддерживает https, но раньше принудительной переадресации на него не было, кто как хотел - так и ходил. Включил на форуме принудительные настройки - ничего не изменилось, хотя я думал, будет автоматом s подставлять после http. А тогда в чем смысл этой настройки? И тот же вопрос по безопасным кукам - это что и как? А то может я фигней страдаю оно все и так безопасное уже средствами одного Апача
Из каких соображений?
-
- Former team member
- Сообщения: 2317
- Стаж: 14 лет 5 месяцев
- Благодарил (а): 37 раз
- Поблагодарили: 261 раз
Re: Не работают безопасные cookie - где накосячил?
1. не хорошо когда на сайт можно ходить и по http и по https - лучше выбрать один из протоколов, а для второго сделать редирект
2. Принудительное включение https в админке форума приведет ТОЛЬКО к тому, что все внутренние ссылки будут https вне зависимости от того по какому протоколу пришел пользователь, НО вход его все равно при этом будет по протоколу входа (именно для этого и настраивается редирект на уровне сервера)
3. безопасные куки работают нормально только при входе по https
4. еще один минус разрешения входа по обоим протоколам - юзеры будут оставлять внутренние ссылки в посты в том протоколе, в каком вошли, а потом когда другой юзер зайдет по другому протоколу и перейдет по этой ссылке - получите разлогиневание
Отправлено спустя 5 минут 31 секунду:
Посмотрите разницу между (особенно на итоговый код страницы):
https://bertal.ru/index.php?a6938587/phpbbguru.net/#h - правильный редирект
и
https://bertal.ru/index.php?a6938592/ruorchids.ru/#h - неправильный редирект (еще и кодировка win-1251)
Отправлено спустя 3 минуты 25 секунд:
И вообще смысл в Вашем случае держать форум в папке? Если домен пустой
2. Принудительное включение https в админке форума приведет ТОЛЬКО к тому, что все внутренние ссылки будут https вне зависимости от того по какому протоколу пришел пользователь, НО вход его все равно при этом будет по протоколу входа (именно для этого и настраивается редирект на уровне сервера)
3. безопасные куки работают нормально только при входе по https
4. еще один минус разрешения входа по обоим протоколам - юзеры будут оставлять внутренние ссылки в посты в том протоколе, в каком вошли, а потом когда другой юзер зайдет по другому протоколу и перейдет по этой ссылке - получите разлогиневание
редирект происходит не на стороне сервера, а на стороне браузера юзера, т.е. вы ему возвращаете страницу html c 200 кодом, в которой тут же обновляется страница с другим адресом и протоколом - т.е. браузер юзера обработает две страницы. А если настроили редирект на стороне сервера (в вашем случае nginx), то редиректом будет с 301 кодом - это хорошо для поисковиков и браузеру пользователя будет возвращена сразу нужная
Отправлено спустя 5 минут 31 секунду:
Посмотрите разницу между (особенно на итоговый код страницы):
https://bertal.ru/index.php?a6938587/phpbbguru.net/#h - правильный редирект
и
https://bertal.ru/index.php?a6938592/ruorchids.ru/#h - неправильный редирект (еще и кодировка win-1251)
Отправлено спустя 3 минуты 25 секунд:
И вообще смысл в Вашем случае держать форум в папке? Если домен пустой
Помощь в ЛС/email только за WM или ЮMoney
-
- Поддержка
- Сообщения: 5283
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Re: Не работают безопасные cookie - где накосячил?
А я опытным путём пришёл к тому, что поле домен cookie вообще пустое. Таким образом кука форума не распространяется на поддомены как в случае с точкой вначале.
И принудительные настройки сервера необходимы только если сервер криво настроен. Использование
И принудительные настройки сервера необходимы только если сервер криво настроен. Использование
fastcgi_param SERVER_PORT 443;
и fastcgi_param HTTPS on;
для nginx в секции php решает Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 7 лет 3 месяца
- Благодарил (а): 1 раз
Re: Не работают безопасные cookie - где накосячил?
Pazh,
1. Это только первая страница по http отдается, которая в корне домена, форум весь на https Это отдельная история борьбы была, когда ставлю редирект в корневом .htaccess форум его игнорирует. Ставлю в .htaccess который в папке форума - его начинает колбасить. Экспериментальным путем выяснил, что колбас проходит, если строки редиректа добавить последними
2. У меня не приводило, т.е. зашел через http - и дальше хожу через него же. Если руками s добавлю в адресе, тогда да. Вот и не понял, в чем смысл этой настройки.
3. Эт я понимаю, не понимаю, чем некие безопасные по версии движка куки будут отличаться от принудительной переадресации средствами .htaccess
4. Нет-нет, сейчас все сидят строго на https и вроде уже не пищат, устаканилось все тьфу-тьфу-тьфу
5. Вы правы, конечно, перфекционизм требует 301 кода, а не костылей... так, на скорую руку слабал
6. Форум заливался, когда планировалось сделать еще несколько разделов на сайте. Потом эта идея заглохла, а форум уже проиндексирован, у многих стоят закладки в браузере на темы. Перенос вызовет массу негатива и ни одного позитивного последствия, кроме приступа перфекционизма у меня
Отправлено спустя 1 минуту 56 секунд:
1. Это только первая страница по http отдается, которая в корне домена, форум весь на https Это отдельная история борьбы была, когда ставлю редирект в корневом .htaccess форум его игнорирует. Ставлю в .htaccess который в папке форума - его начинает колбасить. Экспериментальным путем выяснил, что колбас проходит, если строки редиректа добавить последними
2. У меня не приводило, т.е. зашел через http - и дальше хожу через него же. Если руками s добавлю в адресе, тогда да. Вот и не понял, в чем смысл этой настройки.
3. Эт я понимаю, не понимаю, чем некие безопасные по версии движка куки будут отличаться от принудительной переадресации средствами .htaccess
4. Нет-нет, сейчас все сидят строго на https и вроде уже не пищат, устаканилось все тьфу-тьфу-тьфу
5. Вы правы, конечно, перфекционизм требует 301 кода, а не костылей... так, на скорую руку слабал
6. Форум заливался, когда планировалось сделать еще несколько разделов на сайте. Потом эта идея заглохла, а форум уже проиндексирован, у многих стоят закладки в браузере на темы. Перенос вызовет массу негатива и ни одного позитивного последствия, кроме приступа перфекционизма у меня
Отправлено спустя 1 минуту 56 секунд:
Т.е. если https работает и без принудительных настроек, их и не надо трогать, ничего они не дадут сверх? А что с безопасными куки, это тоже костыль для криворуких админов/хостеров, или есть какой-то дополнительный смысл?
-
- Поддержка
- Сообщения: 5283
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Re: Не работают безопасные cookie - где накосячил?
RuOrch, в common.php (а также в Request.php "симфонии" и ещё в паре других файлов) форума есть следующее:
То есть, чтобы без принудительных настроек всё работало сервер должен правильно отдавать переменные:
при открытии http-страниц и при открытии https-страниц выдавать соответствующие правильные значения этих переменных.
Принудительные настройки сервера позволяют принудительно задать те значения, которые вам нужны, если сервер самостоятельно их не отдаёт. Костыль в общем, но рабочий костыль)
Код: Выделить всё
$server_name = (!empty($_SERVER['HTTP_HOST'])) ? strtolower($_SERVER['HTTP_HOST']) : ((!empty($_SERVER['SERVER_NAME'])) ? $_SERVER['SERVER_NAME'] : getenv('SERVER_NAME'));
$server_port = (!empty($_SERVER['SERVER_PORT'])) ? (int) $_SERVER['SERVER_PORT'] : (int) getenv('SERVER_PORT');
$secure = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 1 : 0;
if (!empty($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https')
{
$secure = 1;
$server_port = 443;
}
Код: Выделить всё
$_SERVER['HTTP_HOST']
$_SERVER['SERVER_NAME']
$_SERVER['SERVER_PORT']
$_SERVER['HTTPS']
$_SERVER['HTTP_X_FORWARDED_PROTO']
Принудительные настройки сервера позволяют принудительно задать те значения, которые вам нужны, если сервер самостоятельно их не отдаёт. Костыль в общем, но рабочий костыль)
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 7 лет 3 месяца
- Благодарил (а): 1 раз
Re: Не работают безопасные cookie - где накосячил?
Siava, хм, выдает соответственно такое:
ruorchids.ru
ruorchids.ru
(none)
on
(none)
но при этом работает https без принудительных настроек... это нормально?
А можете еще так же понятно объяснить, зачем безопасные куки? Это имеется в виду, что они с флагом Secure? Если да, то принудительная переадресация на https не делает ли по сути то же самое?
ruorchids.ru
ruorchids.ru
(none)
on
(none)
но при этом работает https без принудительных настроек... это нормально?
А можете еще так же понятно объяснить, зачем безопасные куки? Это имеется в виду, что они с флагом Secure? Если да, то принудительная переадресация на https не делает ли по сути то же самое?
-
- Поддержка
- Сообщения: 5283
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Re: Не работают безопасные cookie - где накосячил?
RuOrch, ваш сервер отдаёт $_SERVER['HTTPS'] = on, что правильно, поэтому работает без принудительных настроек. Это как раз нормально
А куки с флагом secure нужны для защиты от XSS-атаки связанной с перехватом куки. По хорошему, при использовании https необходимо использовать безопасные куки. Но можно и не использовать, рискуя тем самым.
А куки с флагом secure нужны для защиты от XSS-атаки связанной с перехватом куки. По хорошему, при использовании https необходимо использовать безопасные куки. Но можно и не использовать, рискуя тем самым.
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 7 лет 3 месяца
- Благодарил (а): 1 раз
Re: Не работают безопасные cookie - где накосячил?
Siava, спасибо, Вы среди меня все разъяснили и успокоили
Это я знаю, я другого не знаю: "безопасные куки" в настройках форума - это они или что-то другое имеется в виду? В этом проблема настройки: можно сколько угодно глубоко знать матчасть, но когда она описывается общими словами, без ссылок на знакомые термины...