Author Topic: Nog een keer: Veiligheidsrisico! Toegang geweigerd!  (Read 932 times)

Offline Hans

  • Posts: 912
  • Gender: Male
Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« on: May 23, 2017, 12:15:55 PM »
Ik heb een groeiend probleem als ik met de actuele versie van WebsiteBaker bij provider B. (Apache 2.2.16, PHP 5.6.17, MySQL         5.5.38)  een website probeer bij te houden.

De meeste websites heb ik ondergebracht bij provider A. maar enkele bij B. en juist bij B. doet zich het probleem met deze foutmelding vrijwel continu voor. Als ik heel snel ben, lijkt het, en steeds na een paar aanpassingen tussentijds opsla, gaat het meestal nog wel redelijk goed, maar als het iets te lang duurt komt die foutmelding weer. Het is voor mij, maar zeker voor mij klanten, om gek van te worden.

Omdat het zich bij de ene provider vaker voordoet dan bij de andere vraag ik me af of het te maken kan hebben met de PHP instellingen.
Hier zijn die van B. : http://phpinfo.mijndomeinkennis.nl/  (normaal via de website te benaderen).

Nog enkele opmerkingen meer: Probleem is onafhankelijk van de browser, doet zich ook voor als maar één instantie in gebruik is. Het lijkt iets te maken te hebben met de tijdsduur.

Ik meen dat je vroeger nog wat kon aanpassen aan deze veiligheidsinstelli ngen maar die mogelijkheid lijkt verdwenen.

Ik hoop dat het kan worden opgelost, want dit werkt niet en ik kan moeilijk vragen een andere provider te nemen.
Hans - Nijmegen - The Netherlands

Offline jacobi22

  • Posts: 5836
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« Reply #1 on: May 23, 2017, 12:33:14 PM »
question: is it possible, that you have there (on the webspace with the problems) a session problem? normalize, the session datas are stored in a intern temp- or tmp-folder. i remember, that somewhere in the forum is a tutorial, how to change the session save path to a folder inside of wb, so that you have there all the needed permissions to read or write and it goes faster
(https://forum.WebsiteBaker.org/index.php/topic,24524.msg167483.html#msg167483)

maybe, you can test it
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline Hans

  • Posts: 912
  • Gender: Male
Re: Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« Reply #2 on: May 23, 2017, 02:06:50 PM »
Hello jacobi22

Thanks for the help!

I changed in line 421

Code: [Select]
     
// Start a session
    if (!defined('SESSION_STARTED')) {
        session_name(APP_NAME.'-sid');
        @session_start();
        define('SESSION_STARTED', true);}

with:
Code: [Select]
   
// Start a session
    if (!defined('SESSION_STARTED')) {
        session_save_path( WB_PATH.'/temp');
        session_name(APP_NAME.'-sid');
        @session_start();
        define('SESSION_STARTED', true);
    }

It is difficult to say if it helps, the errormessage keeps appearing, but sometimes I think: less often.
There were session files in that folder so I think it works technically, so this is all we can do
Thanks again.
Hans - Nijmegen - The Netherlands

Offline Hans

  • Posts: 912
  • Gender: Male
Re: Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« Reply #3 on: May 23, 2017, 03:16:26 PM »
Just one more question:

Would it help if the provider extended  session.gc_maxlifet ime ?
Hans - Nijmegen - The Netherlands

Offline jacobi22

  • Posts: 5836
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« Reply #4 on: May 23, 2017, 06:50:25 PM »
session.gc_maxlifet ime is the lifetime for a session cookie, standard value is 1440 seconds == 24 minutes, also in your phpinfo.
but... if you use somewhere in the files on this server a smaller value (private / custom php.ini or .user.ini), this smaller value overwrite the standard. i did not found any value for maxlifetime inside of wb

on the other side.. if this 1440 seconds are too short, it has to work in the first 23 minutes after the login
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline Hans

  • Posts: 912
  • Gender: Male
Re: Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« Reply #5 on: May 24, 2017, 11:54:13 AM »
Thank you.

Quote
on the other side.. if this 1440 seconds are too short, it has to work in the first 23 minutes after the login

Unfortunately it doesn't. Right in the beginning of a session the problem appears after a very short time after opening the page.
I guess we have to live with it  :| because it's no longer possible to edit the values of the FTAN, as was possible before.
Hans - Nijmegen - The Netherlands

Offline jacobi22

  • Posts: 5836
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« Reply #6 on: May 24, 2017, 12:49:19 PM »
Quote
it's no longer possible to edit the values of the FTAN, as was possible before.
???:-o

a missing or wrong FTAN on the receiver page give's as result this message in a red block -> Security offense!! Access denied! like


if we talk from the same error, go to wb-options -> advanced option as super-admin!! and down to server settings, you found the settings like this in the next picture. most effects has the deactivation of the token_fingerprint. fingerprinting use a lot of information about the used work station like IP address, operating system, screen resolution, language, color depth, plug-ins, installed fonts and many more. its very exact, but it needs the same informations also on the received page. if only one of them is missing or different, you get the Security offense-Message. For example: in my home network, my router change my locale ip-adress automatically for every new connection, because of this, i use a fix ip-adress on my desctop, but the mobiles here have everytime a new ip, i think, 2min after closing the last connection, but not sure

Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline Hans

  • Posts: 912
  • Gender: Male
Re: Nog een keer: Veiligheidsrisico! Toegang geweigerd!
« Reply #7 on: May 25, 2017, 08:42:17 PM »
Hello Uwe

I got the same message, with "red" on the background, but without
Quote
IDKEY::

I have deactivated Fingerprint nevertheless and tried a "thousand" times with different time-intervals and I get no error message anymore. If it comes back I'll tell you but I think this is the Golden Solution ;-)

Your great again! Thanks! (Y)

Hans - Nijmegen - The Netherlands