User anmeldung und login nicht möglich - no session-check-id

schnikemike · 13 Januar 2007, 03:35:52

Es habe sich leider schon wieder einige leute drüber beschwert das was nicht funkztionirt.

Komme leider nicht drauf was es ist. manchaml geht es und manchmal nicht. ha ich auch schon selber festgelstt aber nach dem 2 oder 3 versucht hat der logiun dann meisten funktioniert. bzw mit ff eigendlich immer.

Jemand eine idee?

Habe eigenlich in letzter zeit nichts im system verändert.

ich ntippe mal auf irge eien falsche verarbeitung der session. allerdings keine ahnung wo.

Bad Usercreation - (no session-check-id) ist der standart text in meiner logfil in den lezten tagen.

Jeman eine idee wie iuch am besten die besucherdaten mit in die logfile einbauen kann also browserkennung und ip wären schon mal sehr hilfreich. (rausfummel aus den serverlogfiles ist etwas umständlich)

pragmamx 0.1.8 verwende ich da gerade .

wer mal testen möchte http://schnikemike.de

THX

tobiasgo · 13 Januar 2007, 21:45:33

@schnikemike schon einmal dran gedacht das es daher rühren könnte das ein Potenzieller User deine coockies nicht akzeptiert bzw der browser deines besuchers ?? Habe das problem bei mir auch des öfteren das dann die Anmeldung nicht abgeschlossen werden kann weil der browser des besuchers das coockie nicht will. habe aber dazu in meinem FAQ etwas geschrieben sieht denn so aus : http://kf1nod.dyndns.org/wrkf/modules.php?name=FAQ&myfaq=yes&id_cat=1#1 wenn der besucher das so macht wie ichs reingeschrieben habe klappts meistens

schnikemike · 15 Januar 2007, 18:47:22

ja daran hab ich gedacht und es ist wohl ziemlich sicher der fall das es daran nicht liegt.

Da es auch leuten so geht die selber ein mx system haben und sich bei sich einlogen können.
Bei mir aber nicht.
obwohl sie cookies aktiviert haben.
aber danke für den Hinweis.

LG

schnikemike · 15 Januar 2007, 19:04:21

Dabei fällt mir ein das man doch eigendlich garkein cookie verwenden muss!?

Kann man das den nicht in eien verschlüsselte session speichern die dann im temp verzeichniss des server abgelegt wird?

Wäre das dann zu unsicher?

Kenn mich da leider nicht aus.

tobiasgo · 16 Januar 2007, 15:11:41

@schnikemike hm hatte am sonntag versucht mich bei dir anzumelden, ging nicht auch mit vertrauenswürdige seite und kekse akzeptieren gings net schon komisch

tobiasgo · 17 Januar 2007, 18:09:01

soderle nun nochmal zur sache , auch bei mir will die user anmeldung nicht

Zitat16.01.2007 14:56:22 221.147.203.96 SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:22 221.147. SecLog Bad Userlogin (2)- Account:
16.01.2007 14:56:19 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:17 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:17 221.147. SecLog Bad Userlogin (2)- Account:
16.01.2007 14:56:15 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:13 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:13 221.147. SecLog Bad Userlogin (2)- Account:
16.01.2007 14:56:11 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:09 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:09 221.147. SecLog Bad Userlogin (2)- Account:
16.01.2007 14:56:06 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:04 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:04 221.147. SecLog Bad Userlogin (2)- Account:
16.01.2007 14:56:02 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:00 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:56:00 221.147. SecLog Bad Userlogin (2)- Account:
16.01.2007 14:55:58 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:55:56 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
16.01.2007 14:55:54 221.147. SecLog Bad Userlogin - Account: (no session-check-id)
15.01.2007 05:44:04 124.50. SecLog Bad Userlogin - Account: replica handbags (no session-check-id)
12.01.2007 21:03:13 74.52. SecLog Bad Userlogin - Account: Nolik (no session-check-id)
09.01.2007 03:35:13 218.36 SecLog Bad Userlogin - Account: Bill (no session-check-id)
05.01.2007 18:32:11 211.23 SecLog Bad Userlogin - Account: replica handbags (no session-check-id)

die ip`s hab ich natürlich absichtlich verkürzt hier.
Weis da einer der Macher vom pragma evtl rat ?? irgendwo ist da wohl noch der würm drin :-(

Andi · 17 Januar 2007, 18:34:27

Hi

@ tobiasgo

Gut dass du nicht alle IP-Adressen geändert hast...
So konnte man zumindest danach googeln und folgendes finden:
http://www.google.de/search?hl=de&client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&hs=v8D&q=%22221.147.203.96%22&btnG=Suche&meta=
und dann:
http://www.projecthoneypot.org/i_cd4978cb9fd04a2a005d937261a97243

der ohne Accountname und ohne session-check-id ist anscheinend ein robot oder irgend so ein dreck....
Müsste man in den Serverlogfiles nähere Infos finden...

Ansonsten bedeuted die Meldung "no session-check-id" IMMER dass entweder irgendwas mit dem Cookie oder dem Loginformular nicht stimmt. Genauer gesagt, dass der Sessioncookie nicht korrekt gespeichert wird, oder dass zum login ein "falsches" Formular verwendet wird.
Zu 90% liegt es an komischen Cookieeinstellungen der Browser, weitere Kandidaten, die wir schon hatten, sind versch. Plugins vom Firefox oder eben das alte Frame-Problem. Einen Fall hatten wir, da refreshte der Server 2x die Seite, was zu einer ungültigen Session führte, das war dann aber bei ALLEN Usern so....
Eine Idee könnte noch ein alter Admin / User-Sicherheitscookie sein. Zur Sicherheit also mal diese beiden Optionen abschalten.

Um jetzt noch weiteres zu ermitteln brauche ich nen Testaccount, der angeblich nicht funktioniert und vor allem die Seitenadresse, wo das auftritt....

Zitat von: schnikemike am 15 Januar 2007, 19:04:21
Dabei fällt mir ein das man doch eigendlich garkein cookie verwenden muss!?

Kann man das den nicht in eien verschlüsselte session speichern die dann im temp verzeichniss des server abgelegt wird?

Wäre das dann zu unsicher?

Kenn mich da leider nicht aus.

Sorry, aber das ist Unsinn

Auch Sesions brauchen einen Cookie zum Zwischenspeichern der Session-ID beim User...
Einzig die Möglichkeit die Session-ID über die URL weiterzugeben existiert noch, aber das ist aus Sicherheitsgründen nicht empfehlenswert und im pragmaMx erst garnicht vorgesehen...

EDIT:
Was mir noch als Möglichkeit gerade einfällt:
Was sagt die Versionsverwaltung? Sind da wirklich alle Dateien unverändert und auf dem neusten Stand?

tobiasgo · 17 Januar 2007, 18:52:25

@andi :

Zitat@ tobiasgo

Gut dass du nicht alle IP-Adressen geändert hast...
So konnte man zumindest danach googeln und folgendes finden:
http://www.google.de/search?hl=de&client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&hs=v8D&q=%22221.147.203.96%22&btnG=Suche&meta=
und dann:
http://www.projecthoneypot.org/i_cd4978cb9fd04a2a005d937261a97243

der ohne Accountname und ohne session-check-id ist anscheinend ein robot oder irgend so ein dreck....
Müsste man in den Serverlogfiles nähere Infos finden...

hab ich schon bei bot-trap gepostet :-)

das mit der versionsüberwachung ist so ein ding was sich bei mir immer aufhängt von daher kann ichs leider net nutzen das liegt aber an meinem Server denkle ich mal win 2003 und apache auf nel proliant 1600 mit knapp 1gb ram und 2x450 mhz schneller gehts momentan net weil die mittel fehlen.

ZitatUm jetzt noch weiteres zu ermitteln brauche ich nen Testaccount, der angeblich nicht funktioniert und vor allem die Seitenadresse, wo das auftritt....

Seitenadresse ist http://webradio-kaufbeuren.de.vu und nen admin zugang werde ich dir kurz legen brauchst auch einen zum ftp?? schicke ich dir beides per PM.
ansonnsten kurz versuchen sich anzumelden ( coockis habe ich in den einstellungen eh abgeschaltet soweit ich weiss.
hmm wenn ich die serverlogs bei windoofs finden täte wäre mir schon wohler :-)

Danke schon mal im voraus.

so PM ist raus andi und serverlogs wenn sie das sind unter sicherheitsprotokol habe ich gefunden

lg Tobiasgo

schnikemike · 19 Januar 2007, 01:36:37

ZitatWas mir noch als Möglichkeit gerade einfällt:
Was sagt die Versionsverwaltung? Sind da wirklich alle Dateien unverändert und auf dem neusten Stand?

Werde ich nochmal prüfen. hatte aber leider noch nicht die zeit alles an 0.1.9 anzupassen.

Wenn dann denke ich es liegt Theme.

hatte diesen fheler aber nicht rekonstruieren können. bei mir geht es komischerweise immer wenn ich Teste (cache und cokies lösche ich zuvor)

Na werde mich nochmal in Ruhe drum kümmern müssen.

Future · 19 Januar 2007, 02:08:43

Also ich hab gerade mal versucht mich bei euch 2en zu Registrieren und danach einzuloggen.

Bei Tobiasgo:
Null Probleme bisher. Falls noch welche kommen sage ich aber bescheid

Bei Schnikemike:
Joa, da kam ich schon durch die registrierung nicht durch. Nachdem ich auf Fertigsstellen geklickt habe, kam folgenden Seite (Bild)

Naja, kann damit nicht ganz soviel anfange. Du Andi ?

[gelöscht durch Administrator]

schnikemike · 19 Januar 2007, 02:14:36

öha . hmm vl doch was beim profilumbau falsch gegangen wenn es bei der anmeldung kommt.

Na wersd mir das morgen nochmal in ruhge ankucken müssen. na jetzt erst mal g8t

++++ edit ++

hab mich gerade nachmal angemeldte! Jetzt sehe ich das auch.

qÊzZ'ø¥y

Blos wann ist das passiert und wo hängt der Fehler.

naja da werde ich woh um ein backup nicht rumkommen.

edit 2+++++++++++

habe da wohl mist gebaut. bzw da liegt der fehler.

qÊzZ'ø¥y
Fatal error: Class 'decryptor' not found in /srv/www/htdocs/web55/html/home/modules/User_Registration/index.php on line 366

die besagt:

Zitat$securepassword = new decryptor;

Hm hab da eigendlich nichts geändert also muss der Fehler in einer anderen Date sein.

es wird wohl das besten sein die neue 0.1.9 hochzuladen un alle anpassungen neu zu machen.

Dann komme ich vieleicht drauf.

Future · 19 Januar 2007, 02:49:30

Liegt denn die Datei secureurl.class.php in deinem mx root ?
Ich glaube die unlock.php gehört da auch noch zu.
Wenn ja, kannste du sie ja vorsichtshalber nochmal hochschieben.

Ja ja, wird Zeit das ich mal wieder richtig ins System reinkomme.

schnikemike · 19 Januar 2007, 02:58:33

hm?

Die waren beid vorhanden. hab sie jetzt mal testweise durch die aus der 0.1.9 ersetzt. scheint so als würde es damit gelöst sein.

zuminderst keien warnung oder fehler mehr.

Mal sehen ob ich die bestätugungs mail bekomme.

100THX für den hinweis . hatte in den beiden Dateien nix verändert und diese auch nicht neu hochgeladen. sehr komische sache.

++ Edit++

Mail ist da user ist eingelogt.

komische sache das ganze. ist mir unerklärlich.

Future · 19 Januar 2007, 03:06:44

Jo nich dafür...

Also Reg mail kommt bei mir an, funtzen tut der Link auch und einloggen kann ich mich auch.

Mich würde aber nochmal interessieren, was Andi dazu sagt ?!? Andi, schwirrt dir noch irgendwas im Kopf rum wieso warum weshalb ?

Hab da gerade nochmal was gefunden:
http://www.pragmamx.org/modules.php?name=Forum&topic=17684.0

schnikemike · 19 Januar 2007, 03:11:36

ich versteh einfach nicht warum die files anscheinen verändert wurden sehe inden logs nix drüber.

Hatte in den letzten tagen ziemlicb prob mit viern aber das die das vom rechner auf dem server waren glaube ich jetzt eher nicht. wenn dann schon spionage der passwörter. aber die sind wieder geändert. komisch komsich.

tobiasgo · 19 Januar 2007, 15:28:32

Danke fürs testen @future komisch das dus geschafft hast mit der anmeldung denke mal das einige leute ihre browsersecurity zu aggressiv eingestellt haben und das daran die anmeldung gescheitert ist obwohl ich ja was ins FAQ geschrieben hatte wie es gehen sollte. Anscheinend können oder wollen einige proggressive User nicht lesen *gg auch solche muss es geben hihi

liebe grüsse Tobiasgo

Andi · 20 Januar 2007, 11:36:05

Hi

@ tobiasgo

ich habe mich gerade mal mit deinen Daten, die du mir geschickt hats eingeloggt. Das funzte...

Aber: Deine Seite läuft in einem Frame
http://webradio-kaufbeuren.de.vu/ ist in Wirklichkeit http://kf1nod.dyndns.org/wrkf/

Da sind Probleme mit den Cookies vorprogrammiert.

Future · 20 Januar 2007, 11:52:59

Jo, jetzt wo Andi es sacht fällts mir auch wieder ein. Hatte auch schonmal heftige probleme mit. Hab mir dann ne richtige Domain mit Webspace geholt.

schnikemike · 20 Januar 2007, 14:13:00

Das ist für viele ein Problem.

Das kann man aber mit einem DNS Server lösen.

Oder man macht eine Cname Eintrag beim Domainanbieter und link auf dem server wieder zurück (geht aber nur mit einem Acount pro domain)

Bei der confixx verwaltung des accounts die Domain eintragen.

tobiasgo · 20 Januar 2007, 14:35:24

@andi Danke erstmal fürs draufsehen. - Das das in nem frame läuft wusste ich bisher nicht ich dachte das es nur ne weiterleitung von webradio-kaufbeuren.de.vu zu kf1nod.dyndns.org/wrkf/ ist. Coockis habe ich eh soweit ichs weiss und beeinflussen kann deaktiviert in den Einstellungen.
werde wohl dann doch mal die augen nach nem günstigen hoster aufhalten müssen.
werden wohl nochn paar probleme dann auftauchen da ich die inhalte alle mitnehmen möchte aber das wird denn n neues thema.

P.S. N grosses Lob nochmal an dieser Stelle an Andi und das restliche team gute Arbeit die version 0.1.9.

@schnikemike

wie meinst du das

ZitatDas ist für viele ein Problem.

Das kann man aber mit einem DNS Server lösen

kann ich meinen server da auch als dns hernehmen und wenn ja wie ??

schnikemike · 20 Januar 2007, 18:57:31

Kommt drauf an welche zugriff du hast.

Ich habe nen Reseller Server somit kann ich weiter Kunden einrichten uns selbständig Domains kaufen.

Möglichkeit 1 Dürfte bei dir warscheinlich zutreffen.

Du brauchst dafür eine confixx verwaltung auf deinem server in der du Subdomains anlegen kannst oder eine eigene IP .

Dann lege zb. weiterleitung.deindomainame.de an und verweise wieder auf deine domain von der du weiterleitest in der Confixx verwaltung unter der angelegten Subdomain.

Jetzt musst du im Adminbereich des Domainanbieters einen CNAME eintrag machen der auf weiterleitung.deindomainame.de verweist. (oft muss das über den support freigeschaltet werden)

2. möglichkeit und die bessere ist .

Dein Webspace anbieter gibt dir die möglichkeit den DNS server zu verwenden ( machen aber nur sehr wenige)

Dann trägst du den DNS server beim deinem Domainanbieter ein.

Wie das speziel geht kann ich dir nur bei United-Domains sagen. Bei anderen frag den Support.

Vorsicht manche Webspache anbieter richten einen DNS Server ein aber erlauben nur Domains die auch dort gekauft wurden .

Ich mache das bei http://www.gameaktuell.com auch so.

3. Möglichkeit

Natürlich kannst du auch einen KK antrag stellen damit die Domain auf den server übernommen wird.

Dan wird aber meist die ganze Summe fürs Jahr nochmal fällig. Manchmal sogar eine gebühr für den KK Antrag.

4. Du Kauft über deien Hoster Domains.

tobiasgo · 20 Januar 2007, 21:16:52

hmm @schnikemike ich bin mein eigener hoster das heisst ich hoste auf eigenem Server selber spart ein wenig kosten für provider und so ich nutze halt momentan noch da ich ne dynamische dns habe, dyndns und die nic.de.vu weil die .de.vu domains kostenloss sind. klappt soweit auch recht gut zumal es äusserst schwierig ist nen hoster zu finden der chat und nen radiostream erlaubt und wenn dann nur für viel viel geld.

also wird für mich keiner der von dir aufgezeigten möglichkeiten machbar sein denn ne feste IP von der teledumm kostet soweit ich weiss auch ne mänge asche die ich momentan leider nicht überhabe.

ergo: muss es erstmal noch so laufen wie bisher

Lg
Tobias

schnikemike · 21 Januar 2007, 12:49:32

Nee muss es nicht!

Du kannst doch somit deine eigen DNS Server einrichte.

Etwas einlesen muss du dich da aber schon wegen der Config und sicherheit.

Das sollte eigendlich auch mit einer dyndns funktionieren da diese ja weiterhin aufgeklöst wird.

Ich werde das mal mit meiner versuchen.

schnikemike · 21 Januar 2007, 13:08:53

so habe es versucht. mit der Lösung mit dem dns server geht es.

Dazu musst du 3 scahen machen.

1. Eine dyndns Ipd für deinen DNS server einrichten

2. Diese bei deinem Domain anbieter under Name server eintragen

3. DNS server richtig einrichten. (Google)