Не работает режим login_not_save (не сбрасывается авторизация)

[ovpmusic2 0]

Здравствуйте, всем!

Столкнулся с проблемой, что не сбрасывается авторизация при закрытии браузера.

Т.е. в форме авторизации прописан следующий код:

<input type="hidden" name="login_not_save" value="1">

Но после закрытия браузера и повторного открытия авторизация не сбрасывается.

Версия скрипта последняя, 17.1

Браузер не причем, т.к. это наблюдается во всех браузерах и на разных компьютерах. При чем в этом же браузере и на этом же компьютере на сайте dle-news.ru всё работает как надо и после закрытия и повторного открытия браузера пользователь не авторизован.

Какие есть идеи по этому поводу и как решить проблему?

Изменено 10 мая пользователем ovpmusic2

[celsoft 6 009]

В DLE в этом вопросе точно работает все корректно, специально сейчас проверил на чистом дистрибутиве, что собственно и подтверждается тем что работает на нашем сайте. У нас стандартный дистрибутив актуальной версии.

Может быть что то с формой у вас не так, не там например в шаблоне это поле добавили. Может быть есть какие либо модификации в DLE, влияющие на авторизацию.

[ovpmusic2 0]

1 час назад, celsoft сказал:

В DLE в этом вопросе точно работает все корректно, специально сейчас проверил на чистом дистрибутиве, что собственно и подтверждается тем что работает на нашем сайте. У нас стандартный дистрибутив актуальной версии.

Может быть что то с формой у вас не так, не там например в шаблоне это поле добавили. Может быть есть какие либо модификации в DLE, влияющие на авторизацию.

Модификаций нет. Плагины свои стоят (отключал все - не помогло).

В шаблоне login.tpl код стоит перед закрывающим тегом </form> 

Вот эта часть кода:

<form>
...
<div class="submit">
	<button type="submit" class="btn btn-primary btn-block">Войти на сайт</button>
</div>
	<p class="mb-2">Забыли пароль? <a href="{lostpassword-link}" >Нажмите для восстановления</a></p>
	<p class="mb-0">Еше нет аккаунта? <a href="{registration-link}" class="openregisterbox">Нажмите для регистрации</a></p>
	<input name="login" type="hidden" value="submit">
  
	<input type="hidden" name="login_not_save" value="1">
  
</form>

Файлы дистрибутива без изменений.

Не могу понять причину...

Буду искать где проблема дальше...

[celsoft 6 009]

Кстати, попробуйте принудительно очистить куки браузера, в настройках браузера. Возможно у вас там есть "мусорные" куки установленные ранее. И потом уже авторизоваться.

[ovpmusic2 0]

12 часов назад, celsoft сказал:

Кстати, попробуйте принудительно очистить куки браузера, в настройках браузера. Возможно у вас там есть "мусорные" куки установленные ранее. И потом уже авторизоваться.

Куки очищены во всех браузерах - не помогает.

Теперь провожу эксперимент:

Установил на доп домен с чистого листа. Настройки скрипта по умолчанию.

Добавил в login.tpl стандартного шаблона конструкцию:

<input type="hidden" name="login_not_save" value="1">

Авторизовался. Закрыл браузер. Опять открыл. Авторизации нет.

Отлично! Работает!

НО!

Авторизуюсь снова и открываю полную новость...

Авторизации нет!

Т.е. если я авторизован и перехожу по внутренним ссылкам на сайте авторизация уходит...

см. видео здесь: https://disk.yandex.ru/i/fVSllQd4PZcvzQ

Адрес сайта для экспериментов https://minusi.ru

Можно зарегистрировать для себя аккаунт и проверить.

Можно войти админом и тоже проверить:

логин: admin

пароль: 123456

Доступ будет открыт в течение нескольких дней пока не разберемся в причине такого поведения скрипта...

[ovpmusic2 0]

Странно. После публикации моего сообщения прошло 40 минут. Пока занимался другими делами, всё как-то само собой решилось, но опять не туда...

Зарегистрировался как тестовый пользователь. Проверил авторизацию. При переходе по внутренним ссылкам авторизация не слетает.

Но зато теперь опять при закрытии/открытии браузера (любого) авторизация не уходит.

Что происходит? Кто-то может дать ответ?

Пойду проверю тоже самое с виртуального сервера (VPS) чтобы исключить проблемы в моем компе.

Позже отпишусь...

Проверил на VPS - проблема остается.

Т.е. мой компьютер и мои браузеры не при чем.

На VPS два браузера: стандартный Edge и Google Chrome, чистые как младенцы, т.к. на VPS они не используются от слова совсем (у VPS другая задача).

В обоих браузерах проблема та же самая: После закрытия/открытия браузера авторизация не уходит!

Доступ к сайту пока открыт, экспериментируйте.

Может кто-то и найдет решение...

Я пока не нашел... :(

[ovpmusic2 0]

Вот еще видео с тестами на VPS: https://disk.yandex.ru/i/oNrm0KxSQ7NFaQ

Причину такого поведения скрипта я пока понять не могу...

[ovpmusic2 0]

Провел тесты на iPhone - все работает правильно.

Провел тесты на Mac Book, в Safari и в YandexBrowser - тоже всё работает правильно.

Есть идеи почему в Windows глючит?

Повторюсь, чтобы не было ненужных советов, что мой комп ни при чем, т.к. тесты делал еще и на VPS, где система Windows и браузеры "девственные". Везде перед тестами производилась очистка cookie и всей истории за всё время.

Да, на устройствах от Apple я такой чистки не делал и всё работает как надо...

Буду благодарен любым советам!

P.S. Попробую установить Linux в виртуальную машину и проверить там.

Позже отпишусь...

[celsoft 6 009]

2 часа назад, ovpmusic2 сказал:

Т.е. если я авторизован и перехожу по внутренним ссылкам на сайте авторизация уходит...

 

1 час назад, ovpmusic2 сказал:

Зарегистрировался как тестовый пользователь. Проверил авторизацию. При переходе по внутренним ссылкам авторизация не слетает.

Это в первую очередь указывает на некорректные настройки сервера. А именно в части передачи IP от сервера скриптам. Т.е. не осуществляется проброс IP. Такое часто бывают когда ставят прокси поверх бекенда, но не настраивают проброс. Например сттавят nginx но не ставят mod_rpaf для апача и т.л., комбинаций и причин может быть много.

А так как у администраторов включен контроль изменения IP а у пользователей нет по умолчанию, то это приводит к подобному поведению на сайте, что администратора разлогинивает а простого пользователя нет.

Контроль изменения IP включается и отключается в настройках скрипта в админпанели во вкладке настроек безопасности.

[ovpmusic2 0]

19 минут назад, celsoft сказал:

Контроль изменения IP включается и отключается в настройках скрипта в админпанели во вкладке настроек безопасности.

Я извиняюсь, но при чем здесь это если на Mac Book и на iPhone всё работает как надо без этих правок, и не важно под какой учетной записью я вошел на сайт, пользователем или администратором.

Я здесь писал об этом: 

 

23 минуты назад, celsoft сказал:

Это в первую очередь указывает на некорректные настройки сервера.

Хостинг на Beget, никаких особых или дополнительных настроек сервера я не делал.

Если это некорректные настройки сервера, почему тогда на на устройствах от Apple всё работает правильно. Я же уже писал об этом. Проблема почему-то только в операционной системе Windows

Linux еще не установился чтобы проверить там. Установится - проверю и отпишусь о результате...

[celsoft 6 009]

1 час назад, ovpmusic2 сказал:

Я извиняюсь, но при чем здесь это если на Mac Book и на iPhone всё работает как надо без этих правок, и не важно под какой учетной записью я вошел на сайт, пользователем или администратором.

Вы думаете что DLE в курсе что там у вас Windows, Mac Book или iPhone? Нет не в курсе. Ему все равно какое устройство у вас, он работает на сервере, а не на ваших устройствах, и работает одинаково независимо от того какое у вас устройство, и не может зависеть, потому что он вообше в другом месте работает, а именно на сервере, а не на ваших устройства, и на работу DLE может влиять только сервер, а не ваши устройства.

Я вам пишу основываясь исключительно на ваших словах, вы спросили почему одного пользователя может разлогинивать при переходе по внутренним страницам, а другого нет, со стороны DLE я вам ответил почему так может быть, других причин со стороны DLE быть не может. А это ли является причиной или нет, я уже вам сказать не могу, это на сервере нужно проверять. Я говорю лишь только о возможных причинах и что нужно проверять, и только говорю о возможных причинах со стороны DLE.

А непосредственно по вашим устройстам, почему у windows так, а у Mac Book иначе, это уже не ко мне вопросы, потому что я могу сказать только по тому как работает DLE, а не ваши устройства.

[ovpmusic2 0]

4 минуты назад, celsoft сказал:

Вы думаете что DLE в курсе что там у вас Windows, Mac Book или iPhone? Нет не в курсе. Ему все равно какое устройство у вас, он работает на сервере, а не на устройствах, и работает одинаково независимо от того какое у вас устройство, и не может зависить, потому что он вообше в другом месте, а именно на сервере, а не на ваший устройства.

Я вам пишу основываясь исключительно на ваших словах, вы спросили почему одного пользователя может разлогинивать при переходе по внутренним страницам, а другого нет, со стороны DLE я вам ответил почему так может быть, других причин со стороны DLE быть не может. А это ли является причиной или нет, я уже вам сказать не могу, это на сервере нужно проверять. Я говорю лишь только о возможных причинах и что нужно проверять, и только говорю о возможных причинах со стороны DLE.

А непосредственно по вашим устройстам, почему у windows так, а у Mac Book иначе, это уже не ко мне вопросы, потому что я могу сказать только по тому как работает DLE, а не ваши устройства.

Я это прекрасно понимаю, что DLE всё равно с какого устройства я захожу на сайт. Скрипт работает на сервере - это я тоже понимаю.

Выше я писал и показал на втором видео, что сейчас при переходе по внутренним ссылкам сайта всё работает правильно, авторизация не сбрасывается (причем это заработало само собой, за несколько минут до этого не работало и это видно на первом видео).

Но авторизация и не сбрасывается при закрытии, и повторном открытии браузера.

см. видео здесь: https://disk.yandex.ru/i/oNrm0KxSQ7NFaQ

Изменений в настройках сервера и в скрипте никаких не производилось.

У меня к вам претензий нет, скрипт замечательный.

У меня вопрос почему теперь не сбрасывается авторизация при закрытии браузера?

Хотя на Mac и iPhone сбрасывается после закрытия браузера...

Мне это не нужно было и я никогда эту возможность не использовал. А когда понадобилось, то оказалось, что это работает некорректно.

Мне нужно выяснить причину происходящего. Поэтому я и предоставил полный доступ к сайту. Может кто-то (или вы) сможете помочь мне разобраться с этой проблемой...

Буду ОЧЕНЬ признателен всем кто откликнется!

[ovpmusic2 0]

В общем, не сбрасывается авторизация так, как это должно работать.

В Linux это так же не работает.

Чтобы это работало, нужно,  скорее всего, свой браузер настроить так, чтобы в нем ничего не сохранялось, но тогда информация с других сайтов, которую желательно сохранить, тоже не будет сохраняться.

В общем, на пару дней оставлю доступы на сайт открытыми для экспериментов и проверок, может кто найдет решение. Единственно что будет закрыто - это управление плагинами...

Со всем остальным, желающие можете экспериментировать... Всё равно, думаю, что решения у этого бага нет, пока разработчики, что-то не изменят в скрипте в связи с этим вопросом... Подождём...

 

[celsoft 6 009]

14 часов назад, ovpmusic2 сказал:

Со всем остальным, желающие можете экспериментировать... Всё равно, думаю, что решения у этого бага нет, пока разработчики, что-то не изменят в скрипте в связи с этим вопросом... Подождём...

В DLE исправлять нечего совершенно в данном вопросе. Если эта опция не установлена, то он не отправляет и не устанавливает куки авторизации, поэтому он ничего долгосрочно попросту сохранить не может.

Кстати я зашел на сайт на вашем сайте и на mac os, и на windows и нв рвзных браузерах и все у вас прексрасно работает. По внутренним страницам не разлогинивает, при закрытии браузера авторизация не сохраняется. Все у вас работает, я вообще никаких проблем не вижу.

[ovpmusic2 0]

1 час назад, celsoft сказал:

и на mac os, и на windows и нв рвзных браузерах и все у вас прексрасно работает.

Вы видели на видео как это работает?...

После долгих экспериментов, в разных операционных системах, а также в разных браузерах, пришел к выводу, что если пользователь захочет не сохранять авторизацию, то сначала ему придется организовать кое-что в своем браузере, а именно:

1. Не сохранять введенные пароли (что очень неудобно).

2. Отключить восстановление открытых вкладок, которые были открыты перед его закрытием (также неудобно).

3. Не сохранять куки в браузере и т.д.

В общем сплошные неудобства...

В связи с этим вопрос: на какой срок сохраняются куки от DLE в браузере пользователя?

Если я правильно понял по коду в файле sitelogin.php, куки сохраняются на 365 дней.

Можно изменить это значение, например через систему плагинов, установив 1 вместо 365?

Не повлияет ли это на работу скрипта в целом?

[celsoft 6 009]

1 час назад, ovpmusic2 сказал:

1. Не сохранять введенные пароли (что очень неудобно).

2. Отключить восстановление открытых вкладок, которые были открыты перед его закрытием (также неудобно).

3. Не сохранять куки в браузере и т.д.

Причем здесь первый и третий пункт? Вообще не имеют к этому никакого отношения. Введенные пароли только когда заполняете форму, а куки DLE сам не отправляет в браузер!!!! Этого отключать точно не нужно и ничего из этого у меня не отключено. По поводу второго пункта не знаю, не пользуюсь, но в теории влиять может, потому как браузер может не закрывать и хранить сессии!!! а это важно, потому как авторизация закрывается только когда закрывается сессия!! т.е. браузер закрывается.

1 час назад, ovpmusic2 сказал:

Если я правильно понял по коду в файле sitelogin.php, куки сохраняются на 365 дней.

Можно изменить это значение, например через систему плагинов, установив 1 вместо 365?

Не правильно понимаете и не трогайте ничего в файлах DLE. DLE вообще не сохраняет куки!!!! если вы запрещаете ему это отправляя login_not_save

Т.к. я посмотрел ваш сайт в разных системах и разных браузерах, и не увидел никаких проблем, то очевидно, что проблема у вас не на сервере и не с сервером. А причина в том что все на чем вы тестируете не закрывает браузерные сессии, а попросту они шлют на сервер опять старые сессии с авторизационными данными и понятное дело что DLE авторизует опять, т.к. получил данные не из куков браузера, которых нет, а из сессий. Закрытие браузера подразумевает закрытие сессий, вот в эту сторону и копайте.

[ovpmusic2 0]

8 минут назад, celsoft сказал:

По поводу второго пункта не знаю, не пользуюсь, но в теории влиять может

Начните пользоваться этим и сами увидите баг в DLE...

Наконец-то. Разобрались в причине!!! Ура!!!

Вот в этом то все и дело и функция в DLE работает некорректно если у пользователя в настройках браузера установлено "Восстанавливать последние открытые вкладки при запуске браузера".

Почему я говорю, что в DLE эта функция работает некорректно в этом случае, потому что я пользуюсь другими сайтами у которых эта функция работает корректно несмотря на настройки в браузере( хороший пример: myfxbook.com или сайты банков) и если я не захочу сохранять авторизацию она не сохранится и после повторного открытия браузера вкладка восстановится но придется повторно авторизоваться.

Пользователь может авторизоваться, например в интернет-кафе, не со своего компьютера, а там браузер может быть настроен как угодно.

Отсюда мой вопрос: Что я могу и где в скрипте настроить так, чтобы авторизация пользователя сбрасывалась при любых настройках браузера???

[celsoft 6 009]

15 минут назад, ovpmusic2 сказал:

Начните пользоваться этим и сами увидите баг в DLE...

Наконец-то. Разобрались в причине!!! Ура!!!

Вот в этом то все и дело и функция в DLE работает некорректно если у пользователя в настройках браузера установлено "Восстанавливать последние открытые вкладки при запуске браузера".

Вы немного голову включите. Какой баг? Вы хотите и сессии браузера не закрывать и закрывать одноврменно!!!! Это баг вашего логического мышления. При включении этой опции браузера у вас нет закрытия браузера в принципе, вы остаетесь в пределах одной сессии, т.е. браузер ведет себя так, как бы вел если бы никогда не закрывался, это функция защиты от случайного закрытия. А вы настроили DLE чтобы он реагировал именно на закрытие браузера, которого для него не было.

15 минут назад, ovpmusic2 сказал:

Почему я говорю, что в DLE эта функция работает некорректно в этом случае, потому что я пользуюсь другими сайтами у которых эта функция работает корректно несмотря на настройки в браузере( хороший пример: myfxbook.com или сайты банков) и если я не захочу сохранять авторизацию она не сохранится и после повторного открытия браузера вкладка восстановится но придется повторно авторизоваться.

DLE не банк, а банки не используют сессии браузера для авторизации. Не смешивайте теплое с мягким. Это вам не куки или сессии, у них иные более сложные и специально защищенные механизмы авторизации. DLE использует авторизацию по сессиям браузера и по кукам браузера и больше никакую другую, и другая ему не нужна, это не банковское приложение. И эта опция отключает установку куков и не более, и работает это правильно и корректно, и как следствие бага в DLE в этом вопросе нет.

15 минут назад, ovpmusic2 сказал:

Пользователь может авторизоваться, например в интернет-кафе, не со своего компьютера, а там браузер может быть настроен как угодно.

А там еще и все нажатия клавиш записываются, если вы этого не знали, администратор интернет кафе видит ваш пароль в чистом виде. Причем здесь настройки браузера, если вы стремитесь к интернет безопасности то не входите там где нет безопасности и выходите также сами, а по по принципу "тыкаю где хочу и просто встаю и ухожу". А также в браузерах есть приватный режим, пользуйтесь хотя бы им, если ходите по своим доступам в сомнительных местах, чтобы не зависеть от настроек браузера.

Глупо приписывать к багам DLE, свое собственное поведение. 

[ovpmusic2 0]

1 минуту назад, celsoft сказал:

Глупо приписывать к багам DLE, свое собственное поведение. 

Это не мое собственное видение. Это баг в DLE или недоделанная до конца возможность. Какой смысл в том как это работает сейчас? Вообще никакой...

Запишу видео и пришлю как это должно работать. Не на сайте банка и не на сайте какой-то супер секретности или безопасности.

Я вам предлагаю изменить ваш подход к моменту сохранения или несохранения авторизации. Пользователи потом спасибо скажут.

Но если вам лень, или вы не знаете как это реализовать чтобы это работало независимо от настроек браузера, тогда...

 

А по поводу админа, который всё видит, то для этого и существует виртуальная клавиатура и многое еще что...

Я некоторое время работал админом и не только в интернет-клубах и понимаю кое-что в безопасности и как её организовать правильно, поэтому и задал вам вопрос на который я вижу у вас нет ответа, кроме отписок, что это не проблема DLE...

Так вот это проблема DLE, т.к. это не работает так, как это должно работать!

[celsoft 6 009]

25 минут назад, ovpmusic2 сказал:

Это не мое собственное видение. Это баг в DLE или недоделанная до конца возможность. Какой смысл в том как это работает сейчас? Вообще никакой...

Нет, это ваше собственное видение, и ничего более. На форуме темы за 20!!! лет, отмотайте их все и найдите хоть одно такое видение от другого какого либо пользователя DLE. Нет таких. Так что это исключительно ваше собственное видение. Вот когда вы найдете хоть одно подобное видение от другого пользователя, тогда и будете рассуждать о том что это не ваше собственное видение, а факты на данный момент говорят лишь исключительно о вашем собственном видении, и персональном желании. А это тема багов, в не собственных пожеланий. Поэтому лично для вас никакой, потому что вы делаете две взаимоисключающие вещи, а для тех кто этого не делает, имеют более чем нужный и значимый смысл.

25 минут назад, ovpmusic2 сказал:

Я вам предлагаю изменить ваш подход к моменту сохранения или несохранения авторизации. Пользователи потом спасибо скажут.

На какой изменить? Напишу персонально для вас, после калькуляции работ, и полной ее оплаты вами. Скажу сразу, это будет очень и очень дорого, ну это и думаю очевидно, потому что это только персонально для вас и по вашему персональному пожеланию. И меня интересует не ваше персональное спасибо, а оплата труда, и мне неинтересно делать то что никому не нужно в принципе, а только вам, и получить за это исключительно персональное спасибо. Я делаю только то что просят как можно большее количество людей, и только если это соответствует концепции DLE, и только для того чтобы это продавать, и чем большему количеству людей это будет нужно, тем больше людей купят и оплатят работу.

Не нужно путать баги с персональными желаниями. Баг это тот код который заложен, работает неправильно, а заложенный в нем код, это не сохранять куки, и если бы он сохранял когда не нужно, это был бы баг. А сделать авторизацию не по сессиям браузера, а добавить в нее дополнительные функции генерации новых токенов авторизации с интервалов в секунду, это не баг, а персональное желание.

[aleksandrhristich 106]

@ovpmusic2, а вас не смущает,что этот, как бы, баг наблюдается только у вас? Вам уже все разжевали (и в рот запихнули) ,но вы с упорством кудрявого животного не хотите принять очевидного.

@celsoft опередили немного...

Изменено 12 мая пользователем aleksandrhristich

[ovpmusic2 0]

2 минуты назад, celsoft сказал:

На форуме темы за 20!!! лет

А вы всё пишите также как и 20 лет назад? Технологии вообще-то меняются и время идет вперед. И значит я буду первым кто задал вам такой вопрос...

Вам лень или вы не знаете как сделать так, чтобы авторизация не сохранялась если пользователь выберет такую опцию при входе на сайт или администратор пропишет это жестко в шаблоне login.tpl независимо от настроек браузера пользователя?

Если не знаете как - признайте это.

Если знаете как - реализуйте или подскажите что изменить в файлах скрипта чтобы это реализовать...

4 минуты назад, aleksandrhristich сказал:

но вы с упорством кудрявого животного не хотите принять очевидного.

Если вы хотите пооскорблять других, то вам на другой форум. А если есть что сказать по существу вопроса и у вас есть решение -поделитесь... Мне еще никто ничего вразумительного не ответил, как сделать так, чтобы при любых настройках браузера, можно было не сохранять авторизацию!!! Выделенное жирным - это вопрос на который я так и не получил ответ...

[celsoft 6 009]

14 минут назад, ovpmusic2 сказал:

Вам лень или вы не знаете как сделать так, чтобы авторизация не сохранялась если пользователь выберет такую опцию при входе на сайт или администратор пропишет это жестко в шаблоне login.tpl независимо от настроек браузера пользователя?

Если не знаете как - признайте это.

Выше мое полностью сообщение прочитайте. Там описано все достаточно подробно. Без вашей оплаты ничего не будет. И подобные манипуляции слишком примитивны и не работают на мне.

14 минут назад, ovpmusic2 сказал:

как сделать так, чтобы при любых настройках браузера, можно было не сохранять авторизацию!!!

Во первых DLE ее и не сохраняет, я вам на это указал, ее сохраняет браузер, а не DLE, согласно тем настройкам что вы ему принудительно указали, а что делать я Вам ответил. Вариантов два:

1. Отказаться от браузера, потому что вы всегда !!!! будете зависеть от его настроек, потому как он взаимодествует с сервером, соответственно всегда обеспечивает зависимость от этото.

2. Оплатить свое персональное желание, указав от каких именно настроек вы хотите на зависеть. И под ваше персональное желание, вам разработают для вас персональное конкретное решение.

Даже есть еще третий вариант, написать разработчикам браузера, чтобы при этой настройке, браузер только востанавливал вкладки, но никогда не восстанавливал сессии. Это же браузер вам делает, а не DLE. Соответственно зависит в первую очередь от браузера, а вы им пообещаете за это спасибо от себя и других пользователей, наверняка это многие у них просят и только вашей просьбы как раз и не хватает )). Люди эту опцию и вкючают чтобы защищаться от случайного закрытия, и оставаться в сессии а не разлогиниваться тут же.

[aleksandrhristich 106]

@ovpmusic2, а что вам мешает активировать настройку "Сбрасывать ключ авторизации...".

[celsoft 6 009]

 

2 минуты назад, aleksandrhristich сказал:

а что вам мешает активировать настройку "Сбрасывать ключ авторизации...".

Тут в другом вопрос был. Эта настройка сбросит если он войдет в другом месте на сайт, только тогда предыдущий будет сброшен. А здесь восстановление без входа в аккаунт в другом месте.