Labels Milestones

New Issue

Panel admin refuse les connections (local) #60

Closed

opened 3 years ago by Lephenixnoir · 14 comments

Lephenixnoir commented 3 years ago

Owner

Sur mon instance locale je ne peux pas accéder au panel admin ; peu importe mes droits, je me fais déconnecter et renvoyer vers la page de connexion.

Une idée sur le changement que j'ai manqué là-dessus ?

Sur mon instance locale je ne peux pas accéder au panel admin ; peu importe mes droits, je me fais déconnecter et renvoyer vers la page de connexion. Une idée sur le changement que j'ai manqué là-dessus ?

Darks commented 3 years ago

Owner

C'est quelle route qui pose problème ? Tu peux tenter un flask shell, puis :

> from app.models.users import Member
> m = Member.query.filter_by(name="Lephe").first()
> print(m.priv('access-admin-panel'))

Ce qui est bizarre, c'est que à aucun moment le décorateur @priv_required ne renvoie vers la page de déconnexion.

C'est quelle route qui pose problème ? Tu peux tenter un `flask shell`, puis : ``` > from app.models.users import Member > m = Member.query.filter_by(name="Lephe").first() > print(m.priv('access-admin-panel')) ``` Ce qui est bizarre, c'est que à aucun moment le décorateur `@priv_required` ne renvoie vers la page de déconnexion.

Lephenixnoir commented 3 years ago

Poster

Owner

C'est /admin qui pose le problème. Le privilège est bien là, ce code renvoie True.

Voilà la réponse exacte à la requête, c'est une 302 :

[pid: 1376163|app: 0|req: 19/19] ::1 () {48 vars in 1302 bytes} [Wed Jul 22 16:28:35 2020] GET /admin => generated 255 bytes in 1 msecs (HTTP/1.1 302) 5 headers in 334 bytes (1 switches on core 0)

C'est `/admin` qui pose le problème. Le privilège est bien là, ce code renvoie `True`. Voilà la réponse exacte à la requête, c'est une 302 : ``` [pid: 1376163|app: 0|req: 19/19] ::1 () {48 vars in 1302 bytes} [Wed Jul 22 16:28:35 2020] GET /admin => generated 255 bytes in 1 msecs (HTTP/1.1 302) 5 headers in 334 bytes (1 switches on core 0) ```

Lephenixnoir commented 3 years ago

Poster

Owner

Ce comportement est bien causé par @priv_required et visiblement je tombe dans le cas not current_user.is_authenticated alors que je suis connecté. Du coup ça ne me surprend pas trop qu'il me déconnecte au passage. Par contre difficile de savoir comment j'ai atteri là.

Ce comportement est bien causé par `@priv_required` et visiblement je tombe dans le cas `not current_user.is_authenticated` alors que je suis connecté. Du coup ça ne me surprend pas trop qu'il me déconnecte au passage. Par contre difficile de savoir comment j'ai atteri là.

Lephenixnoir commented 3 years ago

Poster

Owner

Correction : même sans @priv_required, je ne suis jamais connecté quand j'arrive sur le panel admin. Le current_user est toujours un AnonymousUserMixin. Peut-être que les informations de session ne sont pas importées pour une raison ou une autre ?

Correction : même sans `@priv_required`, je ne suis jamais connecté quand j'arrive sur le panel admin. Le `current_user` est toujours un `AnonymousUserMixin`. Peut-être que les informations de session ne sont pas importées pour une raison ou une autre ?

Lephenixnoir commented 3 years ago

Poster

Owner

Ce n'est pas lié au code spécifiquement de routes/admin/index.py parce que coller une version de la page de profil ici (modulo renommer la fonction et modifier l'URL de la route) donne le même résultat. Ça doit donc être dans l'environnement, eg. la façon dont la route est importée...

Ce n'est pas lié au code spécifiquement de `routes/admin/index.py` parce que coller une version de la page de profil ici (modulo renommer la fonction et modifier l'URL de la route) donne le même résultat. Ça doit donc être dans l'environnement, eg. la façon dont la route est importée...

Lephenixnoir commented 3 years ago

Poster

Owner

Pour reproduire :

• Pull dev
• Visiter /admin

Comportement attendu : Panel admin ou 403

Comportement observé : Page de connexion

Pour reproduire plus avant :

• Commenter le @priv_required dans routes/admin/index.py
• Visiter /admin

Comportement attendu : Panel admin avec le compte connecté dans la navbar

Comportement observé : Panel admin mais le compte n'est plus connecté

Pour reproduire : * Pull `dev` * Visiter `/admin` Comportement attendu : Panel admin ou 403 Comportement observé : Page de connexion Pour reproduire plus avant : * Commenter le `@priv_required` dans `routes/admin/index.py` * Visiter `/admin` Comportement attendu : Panel admin avec le compte connecté dans la navbar Comportement observé : Panel admin mais le compte n'est plus connecté

Darks commented 3 years ago

Owner

Je n'arrive pas à reproduire ici… 😕

Ça peut pas être un problème de cache Nginx mal configuré ? Le code 302 Found me fait penser à ça.

Tu peux essayer la même chose mais en passant par flask run ?

Je n'arrive pas à reproduire ici… :confused: Ça peut pas être un problème de cache Nginx mal configuré ? Le code `302 Found` me fait penser à ça. Tu peux essayer la même chose mais en passant par `flask run` ?

Lephenixnoir commented 3 years ago

Poster

Owner

Bieeen vu, je ne peux pas reproduire avec flask run. J'avais oublié cette option. Mais je n'ai rien non plus de particulier dans la config nginx, et je ne vois pas exactement comment le cache peut produire ce problème - le script Flask est bien appelé, je debugge des variables dedans.

(Au passage j'ai plein de 308 sur le forum, /forum/news est réécrit en /forum/news/ par le validateur donc ça crée des redirections. Faudra s'en défaire.)

Bieeen vu, je ne peux pas reproduire avec `flask run`. J'avais oublié cette option. Mais je n'ai rien non plus de particulier dans la config nginx, et je ne vois pas exactement comment le cache peut produire ce problème - le script Flask est bien appelé, je debugge des variables dedans. (Au passage j'ai plein de 308 sur le forum, `/forum/news` est réécrit en `/forum/news/` par le validateur donc ça crée des redirections. Faudra s'en défaire.)

Darks added the bug label 3 years ago

Lephenixnoir commented 3 years ago

Poster

Owner

Soit dit au passage, la 302 c'est la redirection vers la page de connexion donc parfaitement normale. Si je vire le décorateur @priv_required la réponse à la requête est une 200 normale mais je suis quand même déconnecté.

[pid: 2857188|app: 0|req: 5/5] ::1 () {48 vars in 1289 bytes} [Thu Jul 23 14:46:53 2020] GET /admin => generated 14428 bytes in 13 msecs (HTTP/1.1 200) 4 headers in 247 bytes (1 switches on core 0)

Bon je vais utiliser flask run je crois, même si ça m'emmerde pas savoir d'où ça vient tout ça...

Soit dit au passage, la 302 c'est la redirection vers la page de connexion donc parfaitement normale. Si je vire le décorateur `@priv_required` la réponse à la requête est une 200 normale mais je suis quand même déconnecté. ``` [pid: 2857188|app: 0|req: 5/5] ::1 () {48 vars in 1289 bytes} [Thu Jul 23 14:46:53 2020] GET /admin => generated 14428 bytes in 13 msecs (HTTP/1.1 200) 4 headers in 247 bytes (1 switches on core 0) ``` Bon je vais utiliser `flask run` je crois, même si ça m'emmerde pas savoir d'où ça vient tout ça...

Lephenixnoir commented 3 years ago

Poster

Owner

J'ai l'immense plaisir de préciser que j'ai également ce problème avec flask run, donc dans l'immédiat j'ai un environnement à moitié cassé pour développer...

J'ai l'immense plaisir de préciser que j'ai *également* ce problème avec `flask run`, donc dans l'immédiat j'ai un environnement à moitié cassé pour développer...

Lephenixnoir commented 3 years ago

Poster

Owner

Nouvelle information et nouveau workaround : ça ne le fait qu'avec Firefox, et pas avec Qutebrowser chez moi. Peut-être un cookie qui se fait éjecter, un truc à surveiller côté uBlock ou le "ad" qui gêne.

Nouvelle information et nouveau workaround : ça ne le fait qu'avec Firefox, et pas avec Qutebrowser chez moi. Peut-être un cookie qui se fait éjecter, un truc à surveiller côté uBlock ou le "ad" qui gêne.

Lephenixnoir commented 3 years ago

Poster

Owner

Ça se précise pas mal avec un message dans la console pour chaque requête ou presque :

Cookie “session” will be soon treated as cross-site cookie against “http://localhost:5000/<url>” because the scheme does not match.

J'ai regardé dans app/static/scripts/pc-utils.js, grep https et cookie dans le dépôt mais je ne vois rien qui empêche le cookie de fonctionner en HTTP. Y a-t-il une protection qui a été mise en place de ce côté-là ?

Ça se précise pas mal avec un message dans la console pour chaque requête ou presque : ```plain Cookie “session” will be soon treated as cross-site cookie against “http://localhost:5000/<url>” because the scheme does not match. ``` J'ai regardé dans `app/static/scripts/pc-utils.js`, grep `https` et `cookie` dans le dépôt mais je ne vois rien qui empêche le cookie de fonctionner en HTTP. Y a-t-il une protection qui a été mise en place de ce côté-là ?

Lephenixnoir referenced this issue from a commit 3 years ago

app: send cookies with Secure and SameSite=Lax (#60) Sending cookies without Secure and without SameSite causes Firefox to ignore or invalidate them, which disconnects accounts seemingly randomly.

Lephenixnoir commented 3 years ago

Poster

Owner

Les paramètres de sécurité des cookies sont en cause ici. Ils sont bien expliqués sur MDN, en gros trois paramètres sont importants :

• Secure pour n'envoyer les cookies que sur des connexions HTTPS (mitige MITM) ;
• HttpOnly pour ne pas exposer les cookies au Javascript (mitige front-end malveillant ou injection JS) ;
• SameSite={Strict,Lax,None} pour ne pas envoyer les cookies aux origines croisées sauf via actions statiques, liens, etc (idem).

En les spécifiant plus strictement y'a plus les warnings et le problème de connexion au panel admin disparaît. Faudrait juste confirmer que ça cassera rien en prod.

Les paramètres de sécurité des cookies sont en cause ici. Ils sont bien expliqués [sur MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies), en gros trois paramètres sont importants : * `Secure` pour n'envoyer les cookies que sur des connexions HTTPS (mitige MITM) ; * `HttpOnly` pour ne pas exposer les cookies au Javascript (mitige front-end malveillant ou injection JS) ; * `SameSite={Strict,Lax,None}` pour ne pas envoyer les cookies aux origines croisées sauf via actions statiques, liens, etc (idem). En les spécifiant plus strictement y'a plus les warnings et le problème de connexion au panel admin disparaît. Faudrait juste confirmer que ça cassera rien en prod.

Lephenixnoir commented 2 years ago

Poster

Owner

Puisque ce commit est en preprod depuis longtemps et n'a rien cassé, je suis content de pouvoir fermer cette issue. ^^

Puisque ce commit est en preprod depuis longtemps et n'a rien cassé, je suis content de pouvoir fermer cette issue. ^^

Lephenixnoir closed this issue 2 years ago

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

dev

preprod

new_editor

improve-entropy

widgets

master

poc/tabtitle

api/admin/members

Labels

Apply labels

Clear labels

bug
Something is not working duplicate
This issue or pull request already exists easy
The fix is considered as easy to make enhancement
New feature help wanted
Need some help invalid
Something is wrong performance
Something is slow, not optimized proposal
Feature to be discussed, RFC question
More information is needed security
This issue is a security breach warning
It works, but for how long? wontfix
This won't be fixed

No Label bug duplicate easy enhancement help wanted invalid performance proposal question security warning wontfix

Milestone

Set milestone

Clear milestone

No items

No Milestone

Assignees

Assign users

Clear assignees

No Assignees

2 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: devs/PCv5#60

Write Preview

Loading…

Cancel

Save

There is no content yet.