Häufige Weiterleitung bei Logout und CGI::Session (Perl/CGI)

[thread]20176[/thread]

Häufige Weiterleitung bei Logout und CGI::Session

Tags: CGI CGI::Session Ähnliche Threads

Leser: 9

Articles: hide open all | hide show old branches

Teilbaum:
Mein Modul File::Session (2 Artikel) 2016-10-28 18:19

+12 replies
Max_Perlbeginner

2016-10-21 20:34
User since
2016-04-04
107 Artikel
BenutzerIn
Liebe Perlgemeinde,
Ich habe ein Problem mit dem Logout bei CGI::Session im tainted Modus. Der Browser (Chromium) zeigt mir folgenden Error an:

Quote
Die Seite localhost funktioniert nicht
localhost hat Sie zu oft weitergeleitet.
Löschen Sie Ihre Cookies.
ERR_TOO_MANY_REDIRECTS

Komischerweise funktioniert der Logout problemlos, wenn ich das Tainting deaktiviert habe. Wenn in der Shebang Zeile jedoch wie empfohlen #! /usr/bin/perl -wT steht, klappt ein erneuter Login erst wieder nach Löschen der Cookies.

Hier die relevanten Code Teile:
Code: (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76

###################### # SESSION MANAGEMENT # create the session or if avaible load the session ####################### my $q = CGI->new(); my $session = CGI::Session->new("driver:File", $q, {Directory => "$tmp_dir"}); $session->expire('15m'); if ($session->is_new ) { my $cookie = $q->cookie(CGISESSID => $session->id); print $q->redirect( -url => 'admin.cgi', -cookie => $cookie); } ######################### # DISPATCH PART - GET THE ACTIONS # if action is login, do the login ######################### my $action = ''; $action = $q->url_param('action') if ($q->url_param('action')); if ($action eq 'login') { login($q, $session); } # Check the Login Status and if the user is logged in, start the chosen action my $login = $session->param("login"); ############### # secret pages (only visible if logged in) ############### if ($login) { [...] #hier sind die verschiedenen möglichen Aktionen, die nur nach Login zugänglich sein sollen. Wichtig ist wohl nur: elsif ($action eq 'logout') { logout($q, $session); } [...] # Die Login Funktion sub login { my ($q, $session) = @_; my $username = $q->param('user'); my $password = $q->param('password'); open my $fh, "<:encoding(utf-8)", $conffile or die "Could not open $conffile: $!"; my $yaml =''; while (my $line = <$fh>) {$yaml .= $line} close $fh; my $config = Load($yaml); $password = sha256_hex($password, $config->{'secret'}); if ($username eq $config->{'user'} and $password eq $config->{'password'}) { $session->param("login", "can_access"); print $q->redirect(-url => 'admin.cgi?action=show_pages'); } } [...] # Und schließlich die Logout Funktion sub logout { my ($q, $session) = @_; # Delete the current session $session->delete(); $session->flush(); # Delete all expired Sessions CGI::Session->find( undef, \&purge , {Directory=> "$tmp_dir"} ); sub purge { my ($session) = @_; if ( $session->is_expired ) { $session->delete(); $session->flush(); # Recommended practice says use flush() after delete(). } } print_template('logout.tmpl'); }
Das Logout Template ist derzeit denkbar schlicht und zeigt lediglich einen kurzen Hinweis auf den erfolgreichen Logout an und einen Link zum Anfangsskript (admin.cgi)

Hat jemand eine Idee, wo der Fehler liegen könnte?
- Gast janus
  
  2016-10-22 10:42
  
  Ganz ehrlich: Was genau CGI::Session macht weiß ich nicht. Aber normalerweise hat eine Session mit Login/Logout überhaupt nichts zu tun. Eine Session wird auf HTTP-Ebene ausgehandelt.
  
  Ein Login bedeutet lediglich, dass die Session einen anderen Status bekommt. Guck wo dieser Status serverseitig persistent gemacht wird, da wäre mein Ansatz.
  Last edited: 2016-10-22 11:38:43 +0200 (CEST)
- +10 replies
- GwenDragon
  
  2016-10-22 11:47
  
  User since
  2005-01-17
  14773 Artikel
  Admin1
  
  2016-10-21T18:34:18 Max_Perlbeginner
  Komischerweise funktioniert der Logout problemlos, wenn ich das Tainting deaktiviert habe. Wenn in der Shebang Zeile jedoch wie empfohlen #! /usr/bin/perl -wT steht, klappt ein erneuter Login erst wieder nach Löschen der Cookies.
  (...)
  Hat jemand eine Idee, wo der Fehler liegen könnte?
  Dann mach halt sauber in deinem Programm! ;)
  Was hindert dich daran, die von Außen kommenden Parameter und Cookies zu testen und zu säubern?
  Dann sollte es doch passen.
  Hast du mal in dein Error-Log gesehen? Da sollten doch Fehler drin stehen, wenn es wirklich am Taint-Modus liegt.
  
  Oder es ist dieser Taint-Bug (oder ein andere) bei driver:file:
  https://rt.cpan.org/Public/Bug/Display.html?id=803...
  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=...
  https://www.mail-archive.com/debian-bugs-dist@list...
  Last edited: 2016-10-22 11:52:05 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +9 replies
  - Max_Perlbeginner
    
    2016-10-22 17:34
    User since
    2016-04-04
    107 Artikel
    BenutzerIn
    
    Liebe GwenDragon,
    
    Danke für Deine Antwort. Ich bin so ein Schussel. An die error.log hätte ich natürlich gleich denken müssen (Anfängerfehler). Naja, hier hätte sie mir ohne Deine Hilfe wohl auch nicht vollends weitergeholfen:
    
    Code: (dl )
    
    1 2 3 4 5
    
    [Sat Oct 22 16:58:08.838566 2016] [cgi:error] [pid 3206] [client ::1:45256] AH01215: [Sat Oct 22 16:58:08 2016] admin.cgi: Variable "@filenames" will not stay shared at /home/maximilian/public_html/cgi-bin/admin.cgi line 199., referer: http://localhost/~maximilian/cgi-bin/admin.cgi?action=logout [Sat Oct 22 16:58:08.839919 2016] [cgi:error] [pid 3206] [client ::1:45256] AH01215: [Sat Oct 22 16:58:08 2016] admin.cgi: "my" variable $pagefile masks earlier declaration in same scope at /home/maximilian/public_html/cgi-bin/admin.cgi line 273., referer: http://localhost/~maximilian/cgi-bin/admin.cgi?action=logout [Sat Oct 22 16:58:08.916863 2016] [cgi:error] [pid 3206] [client ::1:45256] AH01215: [Sat Oct 22 16:58:08 2016] admin.cgi: Insecure dependency in require while running with -T switch at lib/lib/perl5/HTML/Template.pm line 1821., referer: http://localhost/~maximilian/cgi-bin/admin.cgi?action=logout [Sat Oct 22 16:58:08.916948 2016] [cgi:error] [pid 3206] [client ::1:45256] AH01215: [Sat Oct 22 16:58:08 2016] admin.cgi: BEGIN failed--compilation aborted., referer: http://localhost/~maximilian/cgi-bin/admin.cgi?action=logout [Sat Oct 22 16:58:08.917728 2016] [cgi:error] [pid 3206] [client ::1:45256] AH01215: [Sat Oct 22 16:58:08 2016] Template.pm: \t(in cleanup) Insecure dependency in sysopen while running with -T switch at lib/lib/perl5/CGI/Session/Driver/file.pm line 107., referer: http://localhost/~maximilian/cgi-bin/admin.cgi?action=logout
    
    Es ist definitiv der von Dir verlinkte bug. Ich habe das Problem nun (zugegebnermaßen noch etwas unzufriedenstellend) damit gelöst, dass ich CGI/Session/Driver/file.pm wie hier beschrieben selber gehackt habe und am Ende der Funktion _file die folgenden 2 Zeilen eingefügt habe:
    
    Code: (dl )
    
    1 2
    
    $sid =~ /^(.*)$/; $sid = $1;
    
    Blöd ist jetzt natürlich, dass mein Programm (ein Content Management System) nicht mehr mit dem orginal CGI::Session Modul funktioniert. Hat irgendjemand eine Idee, wie ich das Problem in meinem Skript selbst beheben könnte, so dass es weiterhin mit CGI::Session quasi out-of-the-box funktioniert? Vlt. wird das Ganze ja bald auch im Modul selbst behoben. Ansonsten soll ja Data::Session ähnlich sein und vlt. auch etwas besser gepflegt werden (CGI::Session ist halt weiter verbreitet).
    
    @janus
    Danke für die Korrektur. Natürlich hat Session erst mal nichts mit einer Authentifizierung zu tun. Spricht aber irgend etwas dagegen die Authentifizierung mittels einer solchen Session (in meinem Fall Cookies und einer Datei auf dem Server, die außerhalb des Document_Root und cgi-Verzeichnisses liegt) zu machen? Das Passwort selbst ist mit Digest::SHA(sha256_hex) verschlüsselt und in einer ebenfalls nur lokal erreichbaren Konfigurationsdatei (samt einer Geheimphrase, man spricht wohl vom "Salz") gespeichert...
    Last edited: 2016-10-22 19:15:30 +0200 (CEST)
    - Gast janus
      
      2016-10-22 19:22
      
      Es gibt immer Gründe für eigene Entwicklungen. Wenn ich z.B. bestimmte Vorstellungen habe, wie meine Anwendung arbeiten soll, werd' ich nicht ewig warten, bis sich auf CPAN was tut. Beispielsweise macht sich ein spezieller Response-Header ganz gut um automatisiert abzufragen, ob ein Login in der richtigen Gruppe vorliegt.
      
      Ansonsten hab ich mir die Handhabe von Session-Dateien bei PHP abgeguckt und verwende Storable als Serializer für die Login-Tabelle in der Session-Datei.
      
      http://rolfrost.de/session.html
      Last edited: 2016-10-22 19:35:38 +0200 (CEST)
    - GwenDragon
      
      2016-10-22 19:29
      
      User since
      2005-01-17
      14773 Artikel
      Admin1
      
      Taint ausschalten.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +6 replies
    - GwenDragon
      
      2016-10-22 19:50
      
      User since
      2005-01-17
      14773 Artikel
      Admin1
      
      Lass das Original und überschreibe die Symboltablele von &CGI::Session::driver::file::_file einfach.
      Nach dem use CGI::Session füge das ein (ungetestet):
      
      Code (perl): (dl )
      
      1 2 3 4 5 6 7 8 9 10 11 12 13 14
      
      *{CGI::Session::driver::file::_file} = sub { my ($self,$sid) = @_; my $id = $sid; $id =~ s|\\|/|g; if ($id =~ m|/|) { return $self->set_error( "_file(): Session ids cannot contain \\ or / chars: $sid" ); } $sid =~ /^(.*)$/; $sid = $1; return File::Spec->catfile($self->{Directory}, sprintf( $FileName, $sid )); };
      
      Geht's dann?
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +5 replies
      - Max_Perlbeginner
        
        2016-10-22 20:25
        
        User since
        2016-04-04
        107 Artikel
        BenutzerIn
        
        Danke für Deine Hilfe. Leider scheitert ein Überschreiben im Skript an der nicht deklarierten Variable $FileName. Diese wird im CGI::Session::Driver::file module mittels use vars('$FileName') initialisiert. Ich habe schon versucht, die Variable über $CGI::Session::Driver::file::FileName anzusprechen bzw. sie einfach selbst am Anfang des Blocks mit my $FileName = "cgisess_%s"; selbst zu deklarieren. Alles leider ohne Erfolg. In den error.logs finden sich nach wie vor die oben beschriebenen Fehlermeldungen.
        
        Ich denke, eine praktikable Lösung ist, auf meinem lokalen Server die gehackte Version des file.pm Moduls zu verwenden und während der Entwicklung das tainting anzulassen, und quasi in der Produktion (wie ja auch von Dir vorgeschlagen) das Tainting auszuschalten. Der Sinn dieser Option ist ja - wenn ich es richtig verstehe - eine Hilfestellung, um die Skripte sicherer zu schreiben, d.h. in erster Linie für die Entwicklung...
        Auf kurz oder lang werde ich dann wohl zu Data::Session umsteigen...
        
        +4 replies
        
        GwenDragon
        
        2016-10-24 20:02
        
        User since
        2005-01-17
        14773 Artikel
        Admin1
        
        2016-10-22T18:25:54 Max_Perlbeginner
        (...) und quasi in der Produktion (wie ja auch von Dir vorgeschlagen) das Tainting auszuschalten. Der Sinn dieser Option ist ja - wenn ich es richtig verstehe - eine Hilfestellung, um die Skripte sicherer zu schreiben, d.h. in erster Linie für die Entwicklung...
        Au weh!
        Wenn du meinst, dass manche Schalter nur zu Entwicklung da sind und du keine Programmfehler machst, dann deaktiviere -T -- dein Risiko.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        Max_Perlbeginner
        
        2016-10-28 00:02
        
        Subtree with 3 replies: Mein Modul File::Session
        
        User since
        2016-04-04
        107 Artikel
        BenutzerIn
        
        Liebe GwenDragon,
        Da bist Du aber sehr streng mit mir ;-) Aber wie immer hast Du gewiss zu 100% recht!!!
        Kurzum: Ich bin die letzten Tage etwas in mich gegangen und habe mir nun selbst ein kleines Session Modul gebastelt, da CGI::Session scheinbar nicht mehr wirklich gepflegt wird und sich Data::Session ohne Compiler nicht installieren ließ. Wesentlich inspiriert hat mich Jürgen Plates Buch "Der Perl Programmierer"(ein wirklich spannender Ideenschatz)
        
        Es muss natürlich noch dringend ausgebaut werden. Nichtsdestotrotz möchte ich es Euch hier gerne vorstellen. Wie immer sind Kritik, Anregungen und Tipps herzlich willkommen!
        
        Code: (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78
        
        package File::Session; use 5.006000; use strict; use warnings; use Cache::FileCache; use CGI; use Digest::SHA ('sha256_hex'); our @ISA = qw(Cache::FileCache CGI); our $VERSION = '0.04'; sub new { my $class = shift; $class->SUPER::new(@_); } sub retrieve_session { my ($self) = @_; my $session_id = $self->cookie('session_id'); if ($session_id) { # Cookie vorhanden # Set the ID $self->id($session_id); return $session_id; } else { # kein Cookie vorhanden? Dann mach eines! my $cookie = $self->cookie(-name => 'session_id', -value => $self->generate_id() ); print $self->redirect(-cookie => $cookie, -uri => $self->self_url()); } } sub generate_id { my ($self) = @_; my $len = 24; my @session_chars = ('A' .. 'Z', 'a' .. 'z', 0 .. 9, '.', '-'); my $id; eval { open(RANDOM, "/dev/urandom") or die $!; read(RANDOM, $id, $len) == $len; close RANDOM; $id =~ s/(.)/$session_chars[ord($1) & 63]/esg; $id .= time() . $$; $id = sha256_hex($id); return $id; }; if ($@) { # if random is not avaible, create the SID as in CGI::Session # thanks for the inspiration ;-) my $sha = Digest::SHA->new(256); $sha->add($$ , time() , rand(time) ); $id = $sha->hexdigest(); } return $id; } sub id { my ($self, $new_id) = @_; my $old_id = $self->{'id'}; $self->{'id'} = $new_id if ($new_id); return $old_id; } sub get_data { my ($self) = @_; my $session_id = $self->id(); my $data = $self->get($session_id); $self->set($session_id,$data); return $data; } 1;
        
        Durch die Verwendung von /dev/urandom (falls möglich) ist die Session ID sicherer. Auch die Implementierung im CGI Skript ist nicht allzu schwer:
        
        Code: (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
        
        # Create File::Session Object my $session = File::Session->new({'namespace'=>'sessions', 'cache_root'=>"$DATADIR/cache", 'default_expires_in' => '900s', 'cache_depth' => '0'}); # Retrieve the session_id if there is still a session_cookie # or if not create a cookie and redirect my $session_id = $session->retrieve_session; [...] sub login { # Wie gehabt. Nur muss der Login Status wie folgt gespeichert werden # hier muss ich die set Funktion in jedem Fall noch überschreiben $session->set($session_id, {"login" => "can_access"}); } [...] # Der Login Status wird wie folgt ausgelesen (zugleich wird die Zeit # bis zum automatischen Logout durch die get_data Funktion hochgesetzt) my $session_data = $session->get_data; my $login = $session_data->{'login'} || undef;
        
        Jetzt muss ich mich nur noch in diese SSL Geschichte einlesen, aber da frag ich erst mal bei meinem Hoster nach :-)
        Last edited: 2016-10-28 08:29:59 +0200 (CEST)

View all threads created 2016-10-21 20:34.