Wir haben heute morgen nen Update von phpbb 2.03 auf 2.04 vorgenommen.
Folgendes Problem:
User die zum Zeitpunkt des Updates online waren können keine Beiträge schreiben und sich auch nicht ausloggen anscheinend. Offensichtlich hilft bei ihnen auch nicht das löschen der Cookies, Cash und ausloggen, Neuanmelden oder andere Nicks zu nutzen...
Es erscheint beim Versuch von Posten von Beiträgen folgende Meldung:
Überschrift: Allgemeiner Fehler
Im blauen Kasten: invalid_session
Wie gesagt - dieses Problem tritt NUR bei Usern ein, die genau zum Zeitpunkt des Updates gerade online waren.
Unter anderem wird bei uns im Forum das Problem diskutiert...
Wer weis woran es liegen kann bzw. wie man das Problem lösen kann?
Vorher (bei 2.03) war die welt noch in Ordnung.
Danke sehr im Voraus.
Fehler bei 2.04???
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Ich würde mal die Tabelle phpbb_sessions leeren. Vielleicht hilft's was...
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
Gast
-
Gast
Leider existiert immernoch das Problem bei einigen Usern.PhilippK hat geschrieben:Ich würde mal die Tabelle phpbb_sessions leeren. Vielleicht hilft's was...
Gruß, Philipp
Wir haben inzwischen die phpbb_sessions geleert und die User bei denen das Problem auftritt haben die Cookies und den Cash geleert - dennoch änderte dies nichts an dem Fehler leider
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
[solved] invalid_session prob in 2.0.4
das problem liegt an der - vielleicht etwas zu sehr - verbesserten sicherheit in phpBB2 / 2.0.4
als antwort auf das zunehmende session-hijacking wurde in der aktuellen version eine engere bindung zwischen user-ip und user-session definiert - eine auf den ersten blick recht nett anmutende idee (bei postnuke hatten wir das auch einmal) in der realität treten aber ernsthafte probleme auf:
die benutzer-ip ist unter umständen während der laufzeit der session nicht eindeutig - sowohl durch nutzung von proxy-farmen als auch vor allen dingen bei AOL benutzern kann die ip-adresse von anfrage zu anfrage anders sein (und muss dabei noch nicht einmal aus einer subnetzklasse stammen, bei aol können es gar unterschiedliche class-a-netze sein...)
was kann man dagegen tun:
in erster linie versuchen die neuen sicherheitsrichtlinien wieder etwas runterzuschrauben.
der entsprechende check findet sich in der /includes/session.php:
an dieser stelle kann man versuchen, den ip-check abzuschwächen:
oder aber auch ganz aufzuheben:
wenn das nicht ausreichen sollte, bleibt nichts anderes übrig, als das gesamte session-id-checking im quelltext zu entfernen, die entsprechenden blöcke sind jeweils:
die aus den betroffenen dateien (in der standardversion sind das: usercp_email.php, usercp_register.php, usercp_sendpasswd.php, login.php, modcp.php, privmsg.php) zu entfernen sind.
achtung: mit dieser änderung wird die sicherheit des boards gegenüber session-hijacking eindeutig vermindert!
als antwort auf das zunehmende session-hijacking wurde in der aktuellen version eine engere bindung zwischen user-ip und user-session definiert - eine auf den ersten blick recht nett anmutende idee (bei postnuke hatten wir das auch einmal) in der realität treten aber ernsthafte probleme auf:
die benutzer-ip ist unter umständen während der laufzeit der session nicht eindeutig - sowohl durch nutzung von proxy-farmen als auch vor allen dingen bei AOL benutzern kann die ip-adresse von anfrage zu anfrage anders sein (und muss dabei noch nicht einmal aus einer subnetzklasse stammen, bei aol können es gar unterschiedliche class-a-netze sein...)
was kann man dagegen tun:
in erster linie versuchen die neuen sicherheitsrichtlinien wieder etwas runterzuschrauben.
der entsprechende check findet sich in der /includes/session.php:
Code: Alles auswählen
// Do not check IP assuming equivalence, if IPv4 we'll check only first 24
// bits ... I've been told (by vHiker) this should alleviate problems with
// load balanced et al proxies while retaining some reliance on IP security.
//
$ip_check_s = substr($userdata['session_ip'], 0, 6);
$ip_check_u = substr($user_ip, 0, 6);Code: Alles auswählen
$ip_check_s = substr($userdata['session_ip'], 0, 4);
$ip_check_u = substr($user_ip, 0, 4);Code: Alles auswählen
$ip_check_s = substr($userdata['session_ip'], 0, 0);
$ip_check_u = substr($user_ip, 0, 0);Code: Alles auswählen
// session id check
if ($sid == '' || $sid != $userdata['session_id'])
{
message_die(GENERAL_ERROR, 'Invalid_session');
} achtung: mit dieser änderung wird die sicherheit des boards gegenüber session-hijacking eindeutig vermindert!
-
Iran - Now
-
siebenschlaefer
- Mitglied
- Beiträge: 221
- Registriert: 22.01.2003 19:36
- Wohnort: md
könnte man vielleicht auch mit der Sessionlänge [ Sekunden ] die man im adminbereich bei kofiguration eingeben kann was bewirken um den fehler nicht mehr aufkommen zu lassen - bei mir steht da ein wert von 3600
achso und wo wir gerade mal dabei sind - sicheres cookie - aktivieren oder deaktivieren - ich bin bei hosteurope ?
achso und wo wir gerade mal dabei sind - sicheres cookie - aktivieren oder deaktivieren - ich bin bei hosteurope ?
-
basti
Hi,
das habe ich gemacht (alles gelöscht in den entsprechenden Dateien), aber nun kann ich zwar einen neuen Thread eröffnen, aber nicht antworten.
Komischerweise geht es hier auf PhpBB.de nur auf meinem Board geht es nicht.
Kurzer Nachtrag, wenn ich bei diesem Board hier poste, dann kommt immer der Fehler invalid_email, der Beitrag erscheint aber ganz normal.
das habe ich gemacht (alles gelöscht in den entsprechenden Dateien), aber nun kann ich zwar einen neuen Thread eröffnen, aber nicht antworten.
Komischerweise geht es hier auf PhpBB.de nur auf meinem Board geht es nicht.
Kurzer Nachtrag, wenn ich bei diesem Board hier poste, dann kommt immer der Fehler invalid_email, der Beitrag erscheint aber ganz normal.
Zuletzt geändert von basti am 18.02.2003 08:36, insgesamt 3-mal geändert.
