users ingelogd als andere user

[Judge]

• Adres van je forum: TaG forum
  
  Event. modificaties op je forum:
  Laatste updates gedaan
  
  Wanneer ontstond het probleem?
  Ik vermoed toen ik de update van 3.1.6 naar 3.1.8 deed
  
  phpBB versie: huidige versie is 3.1.9
  
  
  Heb je onlangs iets veranderd aan je forum?
  Ik heb bbcode aangemaakt voor tabellen opmaak en youtube embedding. Het probleem was hiervoor al.
  
  Wat is het probleem?

Het probleem is dat users af en toe ingelogd zijn op accounts van een andere user zonder dat ze dit bedoelt hebben. (De gebruikers van dit forum zijn internationaal, elk gebruikt een andere computer)



Tot nu toe heb ik geprobeerd om de forum cache te legen via de backend.
Alle sessions te sluiten via de backend.

Cache te legen via ftp. (Alles van de cache map van phpbb weggehaald behalve de htacces file en de index file)

----------

Ik vraag me of dit als ik cookie instellingen wijzig, bijvoorbeeld naam van de cookies, of ik dan de user informatie reset / of dat het forum zo wordt aangepast dat ik mezelf eruit knikker uit het forum. (Rechten technisch gezien). Hier heb ik dan nog niet aan gesleuteld.

Ik hoop dat hier een oplossing voor is.

Vriendelijke Groet,

Judge

[Ger]

Het probleem is dat users af en toe ingelogd zijn op accounts van een andere user zonder dat ze dit bedoelt hebben.

Dit is normaliter onmogelijk: bij het inloggen moet je een gebruikersnaam en wachtwoord invullen, en die combinatie moet matchen.

Kun je iets meer uitleg geven over de exacte omstandigheden en wat je precies constateert?

[Judge]

Ik weet dat velen de optie "remember me" hebben geactiveerd.
Ik zag één van de forum members vandaag posten als één de administrators. Met een edit erbij dat die member het gepost had.
Het probleem doet zich voor bij meerdere forum gebruikers, maar niet constant. Wat ik dan ook wel raar vind.

Nog wat details / apparte dingen:
Wanneer ik de optie remember me niet gebruik wordt ik uitgelogd ruim binnen de sessie termijn van 7200 seconden.
de enige error in log is: "Email error » EMAIL/PHP/mail() /forum/adm/index.php"

[Paul]

Gebruik je cloudflare of een andere proxy?

[Judge]

Ik gebruik geen proxy of cloudflare. (Al moest ik cloudflare even opzoeken.) Ik weet niet of andere users een proxi gebruiken. Hier zal ik wat navragen aan de mensen.
Op mijn werk gebruik ik wel opendns maar deze heeft geen anti forum instellingen actief voor zover ik weet.


Momenteel heb ik de cookie settings aangepast. Bij cookie domain moest er nog een "." bij het begin zag ik. Tevens heb ik de cookie naam aangepast zodat iedereen weer moest inloggen. Misschien dat het een schone situatie geeft. Maar ik weet dus niet of het daar aan kan liggen.

[Paul]

Waarop staat admin -> beveilingsinstellingen -> Sessie IP-validatie op ingesteld? En als je bij wie is online kijkt, zie je daar dezelfde of verschillende IPs bij verschillende gebruikers?

[Judge]

momenteel staat sessie ip validatie op A.B.C.
Is het handig als ik die op "all" zet?

Het is niet echt een druk forum maar ik zal op de ip's letten.

[Paul]

Nee, A.B.C. is voldoende.

[Judge]

Het probleem is er helaas nog.

Eén van mijn forum users beschreef hoe hij de fout kreeg:

Eerst logde hij in met "Remember me". Na een tijdje kreeg hij een time out op zijn account.
Refresh zorgde de hij ingelogd stond als een andere user.

[Ger]

Na een tijdje kreeg hij een time out op zijn account.

Wat bedoel je met een time out?

Refresh zorgde de hij ingelogd stond als een andere user.

Is dat een user die eerder vanaf zijn PC is ingelogd (door invullen gebruikersnaam/ww en optie onthouden)?

[Judge]

Na een tijdje kreeg hij een time out op zijn account.

Wat bedoel je met een time out?

Na een tijdje ingelogd te zijn dat het forum dat het forum reageert alsof het account niet meer is ingelogd. Dit door middel van een login scherm van het forum (Ondanks de "remember me" optie).

Verversen van de browser zorgde dat hij ingelogd was als een andere gebruiker.

Refresh zorgde de hij ingelogd stond als een andere user.

Is dat een user die eerder vanaf zijn PC is ingelogd (door invullen gebruikersnaam/ww en optie onthouden)?[/quote]
In dit geval leeft de ene user in Polen en de andere in Engeland.Ze loggen niet bij elkaars computer in. Ze gebruiken wel allebij de optie onthouden bij het inloggen.

[El torro]

En je weet 100% zeker dat hun verhaal klopt?
Mij lijkt het persoonlijk niet mogelijk

[Ger]

Dit lijkt me toch iets te maken te hebben met een hoger sessie/caching probleem. Weet je zeker dat er geen proxy actief is? Paul noemde al Cloudfare als bekende proxydienst, maar die gebruik je niet zeg je.

Wat je beschrijft kan ik namelijk alleen verklaren door middel van een proxy namelijk. Ingelogd blijven hangt namelijk af van wat het forum communiceert met de client. Die client is normaliter de browser van de gebruiker maar als er iets tussen de forumserver en de gebruiker zit (bijvoorbeeld een proxyserver) en meerdere gebruikers zijn op dat moment actief, dan kan het zijn dat de verkeerde sessie-informatie naar aan de verkeerde bezoeker doorgestuurd wordt.

Dat is iets wat je pertinent niet wil natuurlijk. Stel je voor dat een kwaadwillende gebruiker jou beheerderssessie doorgespeeld krijgt... Ik zou daarom eens bij je host informeren of er toch niet sprake kan zijn van de een of andere proxyserver.

[Judge]

Eergisteren had ik nog even Purge all sessions gedaan. Dit vanwege de laatste aanpassingen van de cookie instellingen. Sindsdien heb ik niets meer gehoord over rare sessies. Maar ik ben pas echt gerust als het probleem zich niet voordoet in de komende weken.

Nog over het probleem. Het is best apart om in het forum een post die zien van een persoon met dyslectie met een gebruikersnaam van iemand die dat niet heeft.

Paul noemde al Cloudfare als bekende proxydienst, maar die gebruik je niet zeg je.

Ik weet dat ik zelf die diensten niet gebruik. Op mijn eigen werk gebruiken we wel opendns, maar dit heeft geen effect voor forums tenzij ik dat instel bij opendns. Een aantal van onze forumgebruikers benaderd wel het forum via hun werk. Of daar zulke Cloudfare of proxydiensten actief zijn weet ik dus niet / en ik betwijfel of zij dat wel weten.

Tot zover, bedankt voor het meedenken, merci voor de tips.

Mocht er nieuws zijn .. of juist niet zal ik dat ook melden.