Forum

Bonjour,


j'ai toujours sur le module Pages "vous n'avez pas le niveau requis" .
je suis connecté en tant qu'administrateur, j'ai vérifié que dans les menus des modules les autorisations allaient bien jusqu'à admin, j'ai vérifié les chmod du module sur le Ftp à 777.

Rien à faire !

Une idée ?

Et j'ai voulu me déconnecter de mon compte Admin ; ce message :
"Vous avez été potentiellement victime d'une attaque de type CSRF que PHPBoost a bloquée."

C'est un bug assez ancien et fréquent sur PHPBoost.
Ya pas moyen de modifier cela dans votre noyau car ce sont des messages intempestifs sans attaque réelle.
Merci

Merci

Édité par yes Le 17/09/2010 à 12h10

Pour le premier problème, est-ce que tu es allé directement sur la page sans être passé sur le site depuis un certain temps ?

Pour l'attaque CSRF, le problème ne se situe pas dans le noyau mais au niveau de l'action de déconnexion. Où était le lien sur lequel tu as cliqué ? Si tu peux retourner dessus, tu peux nous donner l'URL exacte vers laquelle il pointe (clic droit -> copier la cible du lien) ?

Bonjour,



1) - Pour le premier problème, est-ce que tu es allé directement sur la page sans être passé sur le site depuis un certain temps ?



ça le fait même lorsque je vais régulièrement sur le site. Mon accès se fait toujours par /news/news.php que j'ai choisi comme HomePage dans les choix admin.

Exemple de processus où ça se produit :

/news/news.php

Panneau d'administration

/admin/admin_index.php

-->Modules

-->News

-->ajouter

remplissage de la news + envoyer

------------------



Exemple précis de : Vous n'avez pas le niveau requis !

Par exemple, se produit après le processus suivant (mais peut être différent) :

/news/news.php

Modules

--->Pages

--->Gestion

click sur Dossier

(lien : javascript:open_cat(3);%20show_cat_contents(0,%200);



puis click sur Fichier

(lien : http://www.XXXXXXXX/PHPBoost3/pages/pages.php?title=xxxxxxx



------>message vous n'avez pas le niveau requis



-----------------

2) - Exemple précis de : attaque Csrf

-->modules

-->news

-->gestion

affichage du tableau des news

colonne supprimer ----> clic sur une croix de suppression dont le lien est :

http://www.XXXXXXXXX/PHPBoost3/news/admin_news.php?delete=true&id=22&token=66071f5a141d8d9f7da0bf9d3c1ed245017000c0dc2c2b4b5a856b17ee7753a1



le Message suivant : supprimer cette News ?

--->click sur OK

-->Message : "Vous avez été potentiellement victime ........

(hiérarchie de la page mentionnée : Accueil > Inconnu





Autre lien de croix de suppression entraînant le même phénomène :

http://www.XXXXXXXXXX/PHPBoost3/news/admin_news.php?delete=true&id=27&token=17efee7d7375370369d0831c6d82737cff1f46dd37490afe31e3b2d5471748b3



(url affichée : http://www.XXXXXXXX/PHPBoost3/member/csrf-attack.php



Là ça s'est produit sur une croix de suppression de news, mais ça s'est produit sur d'autres éléments, par exemple, en cliquant sur déconnexion etc....



Cordialement

Édité par yes Le 27/09/2010 à 11h46

Pour le CSRF, les liens semblent bons. Tu utilises toujours le même navigateur ou il t'arrive d'en changer ?

Pour l'histoire de la page où tu n'as pas les droits, est-ce que tu as le formulaire de connexion ou les liens qui t'indiquent que tu es bien connecté (profil, messages privés...) ?

Toujours avec Firefox.
Sur MacBooPro.


Et pour le niveau requis je suis bien connecté, j'ai le panneau au-dessus avec profil etc... et à droite En ligne avec 1 Administrateur en ligne.


Toujours les 3 mêmes problèmes :
- niveau requis
- attaque CSRF
- obligation de cliquer souvent plusieurs fois pour arriver à valider des pages / news etc...

problème récurrent depuis longtemps. J'avais fait des essais sur d'autres Box, d'autres lieux Province/Paris, d'autres navigateur : toujours pareil.
Problème d'adaptation avec les Mac ?
Note importante : je travaille sur d'autres CMS et je n'ai pas ces problèmes sur les autres CMS donc ça ne peut pas venir de mon serveur ou de ma base de données.

Je me souviens aussi de discussions sur le forum où quelques utilisateurs Boost avaient aussi ces problèmes.

Cordialement

En général si on fait un essai sur un nouveau navigateur, ça marche parfaitement pendant un moment, puis ça reprend.
Si on vide le cache, pareil ça s'améliore avant de revenir.

Ya pas un problème de mémoire cache qui pourrait entraîner ça ?

Ce qui est étrange c'est que tu sois bien reconnu comme connecté mais que l'accès te soit refusé. D'autant plus que si j'ai bien compris tu es administrateur, auquel cas tu dois avoir accès à tout.

Quand tu parles d'être obligé à cliquer plusieurs fois pour aller sur une page, tu as des messages d'erreur ou pas ?

Ce problème est étrange, d'autant plus que sur la très grande majorité des utilisateurs ça fonctionne très bien.

non, il n'y a pas de messages d'erreur, ça revient sur une page vide et rien n'est enregistré.
Je fais alors retour pour retrouver la page avec le texte (qui n'est donc pas enregistré) et je reclique deux, trois, quatre fois avant que ça finisse par enregistrer.

Je me demande si ce n'est pas un problème de navigateur, j'ai ça avec Firefox ou Safari.

Là j'essaye depuis deux jours Chrome et pour l'instant aucun problème !
Bizarre ??

Je ne sais plus si c'était toi qui avais parlé de ce problème il y a quelques mois, mais certains utilisateurs rencontraient ce genre de problèmes à répétition et ça dépendait du navigateur.
Ce que tu dis correspond exactement à ce dont je fais allusion.

Tu peux me créer un compte admin sur ton site s'il te plaît et m'envoyer le tout par MP ?

Je ne perçois pas le bug avec Firefox.

Donc si tu n'as rien, c'est que ça n'est pas la base de données ni du serveur.
Et pas du navigateur.

Moi j'ai la même chose sur des box différentes avec des connexions différentes, donc ça ne vient pas des Fai.

Il reste quoi ?? Mon ordinateur ??

Mais je n'ai aucun de ces problèmes avec les autres CMS !
Si j'avais un problème de cache, mémoire, php ou autres ..... j'aurais la même chose sur d'autres CMS.

Je ne vois pas. Une mauvaise compatibilité Boost / Mac ???

Cordialement

Euh, ton PHPBoost est à jour des derniers patches correctifs ?

Oui !

Ce que je n'ai pas fait encore c'est de déconnecter tous les modules Firefox, peut-être incompatibilité avec Boost ?
Mais bon, si c'était ça, ça me le ferait aussi avec les autres CMS.

Je vais essayer.

Essaie avec un autre navigateur, ça te donnera une piste.