3.1.x: Anmeldeprobleme nach Umstellung auf SSL

[sepp71]

Hallo zusammen,
seit ich vor ein paar Tagen mein Board von http:// auf https:// umgestellt habe, klagen Benutzer darüber, dass sie nicht wie früher dauerhaft angemeldet bleiben können.
Ich weiß inzwischen, dass die Benutzer, die dauerhaft angemeldet bleiben wollen, nach der Umstellung einmal die Cookies löschen müssen und sich dann neu einloggen müssen.
Die User berichten aber von wiederholten Problemen.
Die Cookie-Einstellungen im ACP habe ich gegenüber früher nur an einer Stelle ("Sicherer Server...", s.u.) geändert. Einstellungen jetzt:
Cookie-Domain: .meinedomain.de
Cookie-Pfad: /phpbb
Sicherer Server: x aktiviert
In der htaccess ist eine 301-Umleitung auf die https:// Domain, die auch funktioniert.
Cookie-Pfad auf die Domain (ohne Verzeichnis) hatte zur Folge, dass sich niemand mehr anmelden konnte - auch ich selbst nicht, konnte ich über die DB in der config-Tabelle retten.
Woran könnte es noch liegen?

Ich habe ganz leichte Zweifel, ob wirklich alle Leute mit Problemen die Cookies gelöscht haben. Dazu:

• Muss ich im ACP ganz vorn eigentlich auch "Sitzungsdaten löschen"? Ich hatte das immer nur auf die momentan aktiven Nutzer bezogen, aber vom Wortlaut her könnte natürlich auch jemand mit Langzeit-Cookie in der zu leerenden "Sitzungsdatentabelle" enthalten sein.
  Oder gibt es eine andere Möglichkeit, wie ich serverseitig die gesetzten Cookies löschen kann, um sicherzustellen, dass bei den Leuten mit den Problemen auch wirklich keine alten Cookies mehr im Spiel sind?
  Den Cookie-Namen ändern?
• Oder sind evtl. die Browser kritischer, wenn eine https-Seite einen dauerhaften Cookie erstellt als bei einer vergleichbaren http-Seite?

Sepp

[Mahony]

Hallo

Oder gibt es eine andere Möglichkeit, wie ich serverseitig die gesetzten Cookies löschen kann, um sicherzustellen, dass bei den Leuten mit den Problemen auch wirklich keine alten Cookies mehr im Spiel sind?

Du kannst einfach den Cookie-Namen ändern (häng ein s dran ), dann bekommen die User automatisch das neue Cookie.

Grüße: Mahony

[sepp71]

Danke, so werd ich's machen!
Sepp

[sepp71]

Hm, das Problem ist leider noch nicht gelöst. Ich habe inzwischen einiges durchprobiert, aber noch nicht den Durchbruch.

Ich vermute, es liegt daran, dass das Board sowohl über http als auch über https erreichbar ist, und dass besagte User über Lesezeichen etc. primär auf die http-Seite zugreifen.

Zwar leite ich mit einer htaccess-Direktive im Hauptverzeichnis der Domain alle statischen Seiten (haben technisch nichts mit dem Board zu tun) erfolgreich auf https um.
Meine Umleitung:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Aber das gesamte Board (liegt in einem Unterverzeichnis) lässt sich trotzdem noch per http aufrufen und die Umleitung unterbleibt einfach.
Wenn man die Seite als http:// aufruft, sind auch sämtliche Forenlinks als http ausgezeichnet. Nur die übergeordnete Startseite ("URL der Homepage" aus dem ACP, dort mit https eingegeben) bleibt https.
Wenn man die Seite manuell per https aufruft, sieht alles richtig aus.

Weil das bei Apache-Sachen manchmal relevant ist: Es handelt sich um ein Hosting-Paket von 1&1.

Dabei macht es keinen Unterschied, was ich bei "Server und Domain" hinterlege.
Momentaner Stand:
Erzwinge Server URL-Einstellungen JA
Server-Protokoll: https://
Domain-Name: meinedomain. de [keine Protokollangabe]
Server Port: 443 [geraten, nicht gewusst]
Skript-Pfad: /phpbb

Was ich sonst schon probiert habe:

• x-mal neue Cookie-Namen vergeben, um alte Logins zu entfernen
• "Erzwinge Server-URL-Einstellungen" auf nein, Cookie-Einstellungen auf "sicherer Server aktiviert"
• Die im Unterverzeichnis liegende htcaccess von phpBB um die o.a. Umleitung ergänzt (führte zur Unerreichbarkeit des Forums)
• Sonstigen Mixed Content komplett beseitigt, dabei eher spät folgende Probleme gefunden:
  - Affiliate-Links
  - hart-codierte Vorkommen aus Skripten von phpBB
  - CSS-Files von phpBB wie z.B. in navbar_header.html (Details hier)
  - hart-codierte Vorkommen in selbst erstellten BB-Codes, Forenregeln, Forenbeschreibungen
  - externe Avatare

Hat bitte, bitte noch jemand einen Tipp für mich?

Sepp

[hackepeter13]

Also ich habe bei meinem (ein sehr bekannter mit "A" beginnend und mit "inkl" endend ) Anbieter die Einstellmöglichkeit bei jeder einzelnen Domain https zu erzwingen.

Ergo jeder Aufruf per http egal ob als Browser-Adress-Eingabe, aus Browser-Favoriten oder externe (von anderen Webseiten), sowie auch interne Links, wird automatisch auf https geleitet.

Warum soll http noch aufrufbar sein, wenn man das sichere https nutzen, bzw. seinen Besuchern anbieten kann.

Im ACP einfach nur sicherer Server aktiviert und es gab Null Probleme mit Auto-Logins oder sonstigen.

Vllt. gibt es bei deinem Anbieter auch noch Domain-Einstellmöglichkeiten.

[sepp71]

Danke für den Vorschlag. Leider bietet mein Hoster so etwas nicht an, habe gerade noch einmal nachgeschaut.
Sepp

[juliokr]

Hm, das Problem ist leider noch nicht gelöst. Ich habe inzwischen einiges durchprobiert, aber noch nicht den Durchbruch.

Ich vermute, es liegt daran, dass das Board sowohl über http als auch über https erreichbar ist, und dass besagte User über Lesezeichen etc. primär auf die http-Seite zugreifen.

Zwar leite ich mit einer htaccess-Direktive im Hauptverzeichnis der Domain alle statischen Seiten (haben technisch nichts mit dem Board zu tun) erfolgreich auf https um.
Meine Umleitung:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Aber das gesamte Board (liegt in einem Unterverzeichnis) lässt sich trotzdem noch per http aufrufen und die Umleitung unterbleibt einfach.

Also ich habe mein Forum auch in einem Unterverzeichnis (forum)
und mit dem .httacess im Unterverzeichnis "/forum"

Code: Alles auswählen

RewriteEngine on
RewriteBase /forum
RewriteCond %{HTTPS} =off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=301]

werden alle Aufrufe auf https umgeleitet !
Vielleicht hilft's dir weiter

[sepp71]

Vielen Dank für den Tipp - das war's!
Außer der htaccess im Hauptverzeichnis hatte ich in dem Unterverzeichnis meines Forums eine weitere htaccess-Datei aus dem phpBB-Paket. Zunächst habe ich *.tld/phpbb/.htaccess komplett gelöscht, schon ab diesem Zeitpunkt griff die Umleitung aus *.tld/.htaccess auch für mein Board und es wurde korrekt auf https umgeleitet.
Weil ich nicht weiß, wie wichtig die anderen Einstellungen des Originalpakets sind, habe ich nun Deinen Code an erster Stelle in die *.tld/phpbb/.htaccess eingebaut, und es funktioniert weiterhin.

Vielen herzlichen Dank an alle, die mir bei der Lösung geholfen haben!

Sepp

[schnagga]

Joh, auch bei mir war das die Lösung!
Für die Suchmaschinen:
SSL, dauerhafte Anmeldung, Login Problem, htaccess, cookies

[Hexe_Mol]

leider haben wir das problem seit der heutigen umstellung auf https auch.
bei einigen usern funktioniert alles, andere haben diese ständige abmeldung, wenn sie http://www.naschiforum.de aufrufen. kurioserweise tritt das problem nicht auf, wenn sie http://www.naschiforum.de/index.php aufrufen.

nun habe ich in der htaccess nach "RewriteEngine" gesucht und diesen block gefunden.

Code: Alles auswählen

<IfModule mod_rewrite.c>
RewriteEngine On

#
# Uncomment the statement below if URL rewriting doesn't
# work properly. If you installed phpBB in a subdirectory
# of your site, properly set the argument for the statement.
# e.g.: if your domain is test.com and you installed phpBB
# in http://www.test.com/phpBB/index.php you have to set
# the statement RewriteBase /phpBB/
#
#RewriteBase /

#
# Uncomment the statement below if you want to make use of
# HTTP authentication and it does not already work.
# This could be required if you are for example using PHP via Apache CGI.
#
#RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

#
# The following 3 lines will rewrite URLs passed through the front controller
# to not require app.php in the actual URL. In other words, a controller is
# by default accessed at /app.php/my/controller, but can also be accessed at
# /my/controller
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ app.php [QSA,L]

#
# If symbolic links are not already being followed,
# uncomment the line below.
# http://anothersysadmin.wordpress.com/2008/06/10/mod_rewrite-forbidden-403-with-apache-228/
#
#Options +FollowSymLinks
</IfModule>

den anfang habe ich so ergänzt:

Code: Alles auswählen

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

resultat: in opera scheint keine css mehr gefunden zu werden, firefox und chrome haben dieses problem nicht.
beim versuch, sich anzumelden, fehlermeldung: "No route found for "GET /ucp.php""
deswegen habe ich den eintrag in der htaccess erstmal wieder entfernt.

irgendwelche rettungs-ideen?
(hier fehlt ein smilie, der ganz laut hilfe schreit und weint).