Forum

Lorsque je veut ajouter un téléchargement sur la beta5 (en local avec lamp) j'ai :



Vous avez été victime d'une attaque de type CSRF. PHPBoost a bloqué cette attaque.



Pour plus d'informations, visitez wikipedia

Pourtant y'a bien le token ?

download/management.php?new=1&token=c878e1ec679f0be88ab851599a7a1c9fbc80609672ff99597ac0b47c180b1bbf



EDIT : Avec konqueror ça marche, mais avec FF je me mange l'anti crsf

EDIT2 : Avec Firefox quand je veut me déconnecter je prend encore l'anti crsf ... Impossible de me déconnecter sans delete les cookies.

Édité par benpro Le 29/03/2009 à 15h09

le token que t'as dans sous firefox, c'est le même que sous konqueror?

On a des problèmes dans le système de session avec plusieurs navigateurs et avec le tokens. Ils ont la même session avec les 2 navigateurs, et pas les mêmes tokens du coup ça déconne. Je sais pas comment faire encore..

Dans le doute, montre nous le contenu de la table sessions et donne nous le token que t'obtiens sous konqueror et celui de firefox.

Token FF : 233a6c4a4d29019a99109dcd159407380d7712c43e0aa4dbe17854bd1b0fedfd

Token Konqueror : 250ca65c5ff0c1dee1b69550ae36d46c8b5ac285a5941dc57152445054b1753e

Et boum! j'ai mangé l'anti crsf dans konqueror aussi

phpboost_sessions.pdf

ou en csv:





Ce qui est bizarre c'est que je le chope tout le temps maintenant

Et dans la table des sessions j'ai /member/404.php mais c'est pas cette page qui se charge, étrange...

Édité par benpro Le 29/03/2009 à 17h47

Bizarre tu propose 2 moyens d'afficher la BDD et tu as 2 token différents !

Oui ça s'est joué à quelques minutes, j'ai réactualisé la page... Il doit changer ou pas ?

Je ne me suis pas déco/reco. J'ai juste rafraichi la page.

ça dépend, il ne faut surtout pas te déconnecter / reconnecter sur un seul des deux navigateurs pendant que tu fais cette opération sinon, le token pourrait avoir changé (il est modifié à la connexion)

Normal que j'avais répondu après toi, et la c'est toi qui est après 0_o ?
Y'a des bugs ici aussi ?

Oui j'ai rencontré se bug il y a pas longtemps et j'ai lue le mess de horn avant toi ( quand il était dans le bonne ordre )

Oui, j'ai voulu supprimé deux versions de mon message qui s'affichait en triple et ça a tout supprimé, alors je l'ai remis derrière.

Ce qui est étrange c'est que j'ai pas vu ton message en triple!

Sinon des news sur cette histoire de CSRF?

Ton token est faux dans firefox et dans konqueror.

Déconnecte toi (si tu peux pas, vire toutes les lignes de la table sessions), et refait le test

c'est un problème déjà signalé, pour voir si c'est un vrai doublon/triplon ou ce bug, passe la souris sur le bouton éditer et regarde l'id. si ils ont tous le même id, c'est un bug à la création de l'affichage

les autres ne voient pas ton doublon/triplon et tu ne voie pas les leurs.

je suppose que tu utilise l'auto connexion et que ça fait un bail que tu n'a pas fait une déconnexion ?

dans tous les cas, ce souci se résouds après une re-connexion.



j'ai rencontré ce soucis sur d'autres sites aussi, des problèmes de sessions lié à une session trop longue (plusieurs semaine ou mois).

peut être faudrait faire qu'à partir d'un certain temps (genre 1 mois), l'utilisateur se fait automatiquement déconnecté (voir reconnecter de suite de manière transparente)