Changement de mot de passe requis à la prochaine connexion

[ericj]

Après la saisie du nouveau mot de passe exigé, retour au prompt avec une injection d'une chaîne de caractères identiques à la suite du "login" :

login���������������������������

Ici la chaîne de caractères proprement dite est authentique et vérifiée avec plusieurs profils et sur des serveurs différents.

[brol]

Es-tu chez 1&1 et/ou as-tu réglé la version de php sur 5.5 ou 5.6 ?

[ericj]

Replying to brol:

Es-tu chez 1&1 et/ou as-tu réglé la version de php sur 5.5 ou 5.6 ?

Le site n'est pas hébergé chez 1&1 et comme je l'ai précisé dans le ticket, j'ai vérifié ce problème sur deux serveurs différents. Mais en effet, le premier tourne avec PHP 5.5.25 et l'autre 5.6.2. C'est mal ?

[brol]

Ça pourrait être deux serveurs chez le même hébergeur...
Perso, j'ai cette blague chez 1&1 avec php5.5 et 5.6 mais pas en 5.4.
Je ne sais pas si ça a un rapport, juste que c'est totalement gonflant.

[ericj]

Replying to brol:

Ça pourrait être deux serveurs chez le même hébergeur...

Ce n'est pas le cas. Le second est un MAMP.

Perso, j'ai cette blague chez 1&1 avec php5.5 et 5.6 mais pas en 5.4.

Je vais vérifier si c'est le cas aussi de mon coté, en commençant avec MAMP, c'est plus facile.... quoique.

Je ne sais pas si ça a un rapport, juste que c'est totalement gonflant.

A qui le dis tu ? Je précise que le problème persiste tout plugin désactivés. Très chiant.

[nikrou]

Le serveur n'a à priori pas de rapport avec cet étrange comportement. En revanche le navigateur et la manière de stocker les mots de passe c'est moins sûr. @ericj : peux-tu me dire avec quel navigateur tu rencontres ce problème ? D'ailleurs as-tu testé avec différents navigateurs ? Quoi qu'il en soit je suis preneur d'une manière de reproduire le phénomène car pour le moment je n'ai pas ce soucis que ce soit avec chrome, firefox, ...

[ericj]

Replying to nikrou:

Le serveur n'a à priori pas de rapport avec cet étrange comportement.

Ah !?? J'avais cru comprendre qu'au delà de PHP5.4, on pouvait trouver la ou une raison du problème. Je n'ai pas eu le temps de tester avec une version de PHP infra 5.5. Est que cela vaut la peine que je teste quand même ?

En revanche le navigateur et la manière de stocker les mots de passe c'est moins sûr. @ericj : peux-tu me dire avec quel navigateur tu rencontres ce problème ? D'ailleurs as-tu testé avec différents navigateurs ?

Firefox 38.0.1, Safari 7.1.6 et, plus exotique,  http://www.vivaldi.com mais toujours sous Mac OSX 10.9

J'ai été alerté par un ami qui a subit le problème avant que je ne le constate, le reproduise moi-même et le signale ici. Je ne suis pas sûr que nous utilisions les mêmes version de Firefox et de Safari. Le point commun en tout cas, c'est le site.

Quoi qu'il en soit je suis preneur d'une manière de reproduire le phénomène car pour le moment je n'ai pas ce soucis que ce soit avec chrome, firefox, ...

Ni Firefox ???? %-/

Pour reproduire le phénomène - et sans de plus amples explications - il suffit d'activer "Changement de mot de passe requis à la prochaine connexion" sur un profil dans le cadre d'un Dotclear 2.7.5.

@suivre...

[nikrou]

J'ai réussi à reproduire le phénomène que d'une seule manière, merci de me confirmer si c'est bien comme ça que cela se produit. Et je n'ai reproduis le phénomène qu'avec firefox.

Alors la manière la plus simple c'est effectivement en forçant le changement de mot de passe.

1) On va sur la page /admin/auth.php

2) on remplit les champs login et mot de passe et on coche la case se rappeler de moi. Sans cocher la cas on n'a pas le phénomène.

3) on est redirigé vers une page pour rentrer le nouveau de passe

4) normalement on devrait être auto-reconnecté mais le champ login n'est pas bon

[ericj]

Replying to nikrou:

J'ai réussi à reproduire le phénomène que d'une seule manière, merci de me confirmer si c'est bien comme ça que cela se produit. Et je n'ai reproduis le phénomène qu'avec firefox.

ça me rassure un peu... mais je confirme que cela se produit avec Safari et Vivaldi qui ont au moins en commun le Webkit comme moteur.

Alors la manière la plus simple c'est effectivement en forçant le changement de mot de passe.

Je n'en connais pas d'autres...

1) On va sur la page /admin/auth.php

Oui...

2) on remplit les champs login et mot de passe et on coche la case se rappeler de moi. Sans cocher la cas on n'a pas le phénomène.

Je n'ai jamais coché cette case et pourtant !

3) on est redirigé vers une page pour rentrer le nouveau de passe

Oui...

4) normalement on devrait être auto-reconnecté mais le champ login n'est pas bon

Dans mon cas il est systématiquement et dans tous les cas de figure testés modifié par l'injection de la même chaîne de caractères cités dans mon ticket initial. Je me suis amusé à faire parler cette chaîne sous différents encodage et ça donne ça :

login������������������������
������������������������    
ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½
������������������������
ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½ï؟½
これ見た瞬間lineおかしくなった

[brol]

Perso, c'est donc chez 1&1 que ça se produit quand j'opte pour les version de php 5.5 et 5.6.
Firefox 38.0.1 et dc2.7.5.
Je n'ai pas eu à cocher de case ou en changeant de mot de passe.

Nikrou, si tu veux un accès sur un blog qui a ce problème, ça peut se faire. Me dire en direct.

[ericj]

Replying to ericj:

Replying to brol:

Ça pourrait être deux serveurs chez le même hébergeur...

Ce n'est pas le cas. Le second est un MAMP.

Perso, j'ai cette blague chez 1&1 avec php5.5 et 5.6 mais pas en 5.4.

Je vais vérifier si c'est le cas aussi de mon coté, en commençant avec MAMP, c'est plus facile.... quoique.

En effet, sous MAMP et php5.4.4, pas de problème !

[brol]

Je up lourdement. Des nouvelles sur la résolution de cette contrariété ?

Merci

[ericj]

Replying to brol:

Je up lourdement. Des nouvelles sur la résolution de cette contrariété ?

Merci

Nop nop... aucune nouvelle news :-?

[Dsls]

(In [fff9fac482c6]) User id retrieval simplification, should fix #2097.

[brol]

Pas glop :  http://forum.dotclear.org/viewtopic.php?pid=334731#p334731 sur mise à jour Dotclear 2.9-dev-r3108

[brol]

Désolé mais j'ai toujours l'erreur chez 1&1.

[bruno]

Peux-tu essayer de refaire la manip après avoir supprimé les cookies liés à ton admin, et dire si le bug subsiste ?

[Dsls]

(In [9f158da42dca]) php 5.5 leaves NULL chars in unpack ==> add trim, fixes #2097

[brol]

Toujours le soucis avec dc2.9 r3111. Si tu veux un accès, tu me dis directement par mel.

[nikrou]

Le problème initial est corrigé mais a introduit un autre problème :  http://forum.dotclear.org/viewtopic.php?pid=335111

[Dsls]

(In [a276616dcca9]) trim should be better this way... closes #2097

[Dsls]

(In [ab86f108eae6]) complement on trim, see #2097