XF 1.5 У Вас нет прав для просмотра этой страницы или для выполнения этого действия.

[Ласточка]

Всем привет!

Уже несколько месяцев пытаюсь выявить и побороть досадный баг, причины возникновения которого мне, к сожалению, неизвестны (и уже не узнать) :(
Прошу комьюнити помочь мне разобраться и побороть гадину, т.к мемберы уже задолбали... а я ничего не могу сделать! Мои поиски причины успехом не увенчались :(

Суть бага проста и заключается в том, что при нажатии на кнопку Загрузить файл (кнопку справа от Ответить) исключительно в темах/сообщениях форума получаем ошибки:

1. Если включен режим Flash-загрузки, по ссылке вида

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

и прохода индикатора загрузки до 100% получаем в оверлее следующее (исходник):

{
-
error: (1)[
"Обнаружено нарушение безопасности. Пожалуйста, нажмите "Назад" в браузере, обновите страницу и попробуйте снова."
],

templateHtml: "

<div class="errorOverlay">
<a class="close OverlayCloser"></a>
<h2 class="heading">Произошла ошибка:</h2>
<div class="baseHtml">
<label for="ctrl_0" class="OverlayCloser">Обнаружено нарушение безопасности. Пожалуйста, нажмите "Назад" в браузере, обновите страницу и попробуйте снова.</label>
</div>
</div>",
_visitor_conversationsUnread: "7",
_visitor_alertsUnread: "2"
}

2. Если же режим Flash-загрузки отключен, по ссылке вида

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

получаем (сразу после клика по кнопке) в оверлее следующее (исходник):

{
- error: (1)[
"У Вас нет прав для просмотра этой страницы или для выполнения этого действия."
],

templateHtml: "
<div class="errorOverlay">
<a class="close OverlayCloser"></a>
<h2 class="heading">Произошла ошибка:</h2>
<div class="baseHtml">
<label for="ctrl_0" class="OverlayCloser">У Вас нет прав для просмотра этой страницы или для выполнения этого действия.</label>
</div>
</div>",
_visitor_conversationsUnread: "7",
_visitor_alertsUnread: "2"
}

При этом:
- ID юзера = 1 (суперадмин), впрочем загрузка в темы не работает для всех групп (те же симптомы).
- Все возможные относящиеся к Загрузке файлов права в Админке (Админы, Модераторы, Группа и индивидуально) и во всех разделах (раздел с тестовой темой, родительская категория) на загрузку и просмотр вложенных файлов выданы!
- Та же функция в переписках, сообщениях профиля и дополнениях (вроде Showcase, Gallery, Teams etc.) происходит без каких-либо проблем, т.е работает исправно!
- Ошибки в Админке форума отсутствуют.
- Чистый дистриб той же версии (1.5.9), с тем же стилем (Soft Responsive), c Redis-кэшем и поднятый на том же сервере прекрасно добавляет вложения в темы...!
- Вложения в старых темах отображаются и под сообщением, и добавленных изображениях... но, при этом какие-либо модификации с ними произвести невозможно (удаление, редактирование и т.д) :(

Please, help me!

 

[Kolya groza morey]

Отключите все плагины и проверьте осталась ли проблема

 

[Smalesh]

Баг стабильно воспроизводится, каждый раз или периодически?

 

[Ласточка]

Отключите все плагины и проверьте осталась ли проблема

Проблема остаётся.

Баг стабильно воспроизводится, каждый раз или периодически?

Баг стабильно воспроизводится каждый раз при попытке добавить вложение к сообщениям тем или изменить/удалить существующие старые вложения.

---------------------------------------

Показать форум, равно как и предоставить к нему доступ я не могу т.к он приватный и содержит частный контент :(
Могу предоставить все необходимые данные настройки движка, список дополнений, логи веб-сервера и БД и подобное (выделенный сервер).

Движок, шаблон и основные дополнения - лицензии.

P.S Возможно, есть смысл обратиться в официальную поддержку XF? Но, это наверное нужно будет им предоставлять доступы к админке или БД... а это неприемлемо :(
Что делать? Help! :(

 

[Mirovinger]

То есть, Вы хотите, чтобы мы воспроизвели проблему Вашего форума у себя, ну это почти не возможно.
Так что по проблеме можно только гадать.
И то что дополнения лицензия, не значит что не может быть конфликтов.
И такой вопрос, никаких защит от Ддоса не подключено?

 

[Smalesh]

Баг стабильно воспроизводится каждый раз при попытке добавить вложение к сообщениям тем или изменить/удалить существующие старые вложения.

Предположительно нарушение безопасности - это проблемы с CSRF-токеном (Cross Site Request Forgery), когда его содержимое не совпадает с ожидаемым или его нет вообще.
За это отвечает приблизительно такой код в шаблоне, скрытое поле в форме

<input type="hidden" name="_xfToken" value="{$visitor.csrf_token_page}" />

Если проблема повторяется на дефолтном стиле - это похоже на проблему с кешированием; если на дефолтном стиле ошибки нет - тогда смотреть шаблоны используемого стиля. Имхо.

 

[Ласточка]

То есть, Вы хотите, чтобы мы воспроизвели проблему Вашего форума у себя, ну это почти не возможно.
Так что по проблеме можно только гадать.
И то что дополнения лицензия, не значит что не может быть конфликтов.
И такой вопрос, никаких защит от Ддоса не подключено?

Вот такая защита подключена.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Она же -

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Предположительно нарушение безопасности - это проблемы с CSRF-токеном (Cross Site Request Forgery), когда его содержимое не совпадает с ожидаемым или его нет вообще.
За это отвечает приблизительно такой код в шаблоне, скрытое поле в форме

Да, в процессе самостоятельного поиска проблемы моё внимание уже привлекала подобная строка в шаблонах, особенно в шаблоне editor.
Хочу спросить - о каком конкретно шаблоне (или шаблонах) речь?

-------------------------------------

Кстати, там в обоих опубликованных мной блоках кода ошибок загрузки внизу есть какие-то счётчики, предположительно касающиеся уведомлений форума. Так?
Я нашла те указанные Вами выше строки в поисках решения второй, последней из двух существующих сейчас проблем моего форума.

Уведомления о ответах и действиях в темах подписчикам перестали приходить приблизительно тогда же, когда и перестала работать загрузка файлов в темы!
При этом остальные уведомления (не касающиеся тем) приходят как и приходили! Страница account/alerts работает нормально и в БД они все пишутся!

Они так и не работают сейчас! И что-то мне подсказывает... они могут быть связаны друг с другом.
Возможно какой-то конфликт Аякса для уведомлений и для загрузок файлов на странице списка сообщений темы и расширенного редактора... я не сильна в этом :(
Все права розданы и т.д. Ошибок никаких в админке нет!

Такие дела... :(

 

[Smalesh]

Еще раз, по этапам - в стандартном стиле ошибка есть или нет? Да - смотрим кеш (а он может быть и на стороне антиддоса), если ошибки под стандартным стилем нет - смотрим стиль.
По шаблонам не скажу ничего, т.к. не знаю.

 

[Hope]

Уже было тут нечто подобное, обычно проблемы именно на стороне сервиса защиты от ддос.

 

[Ласточка]

Если проблема повторяется на дефолтном стиле - это похоже на проблему с кешированием; если на дефолтном стиле ошибки нет - тогда смотреть шаблоны используемого стиля. Имхо.

Проблема повторяется и на дефолтном скине.

Кеширование осуществляется сервером Redis, за связь отвечает установленная последняя версия дополнения

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Также установлено прикладное кеширующее дополнение

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

кусок config.php, отвечающий за кэш

$config['externalDataUrl'] = 'https://cdn.r.worldssl.net/data';
$config['javaScriptUrl'] = 'https://cdn.r.worldssl.net/js';

$config['cache']['enabled'] = true;
$config['cache']['cacheSessions'] = true;
$config['cache']['frontend'] = 'Core';
$config['cache']['frontendOptions'] = array(
<------>'caching' => true,
<------>'cache_id_prefix' => 'xf_',
<------>'automatic_serialization' => false,
<------>'lifetime' => 0
);

$config['cache']['backend'] = 'Redis';

$config['cache']['backendOptions'] = array(
<------>'server' => '127.0.0.1',
<------>'port' => 6379,
<------>'timeout' => 2.5,
<------>'force_standalone' => false,
<------>'connect_retries' => 1,
<------>'read_timeout' => '',
<------>'password' => '',
<------>'database' => 0,
<------>'notMatchingTags' => false,
<------>'compress_tags' => 1,
<------>'compress_data' => 1,
<------>'lifetimelimit' => 2592000,
<------>'compress_threshold' => 20480,
<------>'automatic_cleaning_factor' => 0,
<------>'compression_lib' => '', // dynamically select first of; snappy,lzf,l4z,gzip
<------>'use_lua' => true,
<------>'sunion_chunk_size' => 500,
<------>'lua_max_c_stack' => 5000,
);

require(XenForo_Application::getInstance()->getConfigDir().'/SV/RedisCache/Installer.php');

Сессии в кэш не пишутся, соответствующе сконфигурирован и PHP 7.0.9.
Связка Apache2.4.19 + mod_php70 + mariadb 10.1 + phpredis 3.0 + redis-server 3.2.3.

Еще используется ElasticSearch 2-й версии, соответственно установлен сервер Java.

Что еще может помочь?

Уже было тут нечто подобное, обычно проблемы именно на стороне сервиса защиты от ддос.

Ошибки появились еще до появления защиты.
До этого на сервере всегда был установлен CSF.
Он может быть причиной такого поведения?
Вряд-ли, т.к при отключении CSF ничего не изменялось...

Уже было тут нечто подобное, обычно проблемы именно на стороне сервиса защиты от ддос.

Возможно движку форума поможет разрешение передачи этого самого Security Token, упомянутого выше, в адресной строке (в явном виде, например &xf_session=gffy838489hj3434g3443g), а не только путем сессионных cookies, как сейчас установлено (и было "из коробки") в PHP7.INI ?

Ваше мнение?

 

[Hope]

Если Вы точно уверены, что это не проблема антиддоса, тогда конечно нужно смотреть в сторону настройки сервера, но тут советы давать даже не полезу.
Так бы конечно специалист какой-нибудь мог бы глянуть, но доступа не будет, посему - это просто гадание уже получается и так вряд ли получится что-то решить... Хотя, если передать спецу некоторые конфиги и т.п., то вполне возможно.

 

[Ласточка]

Если Вы точно уверены, что это не проблема антиддоса, тогда конечно нужно смотреть в сторону настройки сервера, но тут советы давать даже не полезу.
Так бы конечно специалист какой-нибудь мог бы глянуть, но доступа не будет, посему - это просто гадание уже получается и так вряд ли получится что-то решить... Хотя, если передать спецу некоторые конфиги и т.п., то вполне возможно.

httpd.conf, ssl.conf, php.ini, .htaccess, mod_php.conf - всё это могу выложить, затерев данные домена.
MariaDB - аналогично.
Могу и сюда выложить всё под спойлера.
Будет ли от этого толк?

 

[Smalesh]

CSF не при делах. Хранение сессий тоже - в первую очередь была бы проблема с авторизацией. Сейчас надо выключить redis с конфига и посмотреть без него.
Собсно проблема быстрее всего ищется отсеканием лишнего.

 

[Ласточка]

CSF не при делах. Хранение сессий тоже - в первую очередь была бы проблема с авторизацией. Сейчас надо выключить redis с конфига и посмотреть без него.
Собсно проблема быстрее всего ищется отсеканием лишнего.

Спасибо за совет, попробую.

 

[mexan]

,

OFFTOP

Такое ощущение, что на сайте хранятся коды для запуска межконтинентальных баллистических ракет. Без обид. Ладно, не хотите светить свой домен всему ресурсу, но Hope, Mirovinger, могли б дать доступ и проблему решили. Не хотел никого обидеть.

 

[Ласточка]

,

OFFTOP

Такое ощущение, что на сайте хранятся коды для запуска межконтинентальных баллистических ракет. Без обид. Ладно, не хотите светить свой домен всему ресурсу, но Hope, Mirovinger, могли б дать доступ и проблему решили. Не хотел никого обидеть.

Что-то вроде того :) Извините.

 

[mexan]

OFFTOP

"А может бахнем!?"))

Для просмотра этого контента нам потребуется ваше согласие на установку файлов cookie третьих лиц.
Более подробную информацию можно найти на нашей странице cookie.

Принимать файлы cookie третьих лиц

Все заканчиваю оффтоп:blush2:

 

[Kolya groza morey]

Специалистам нафиг не нужны ваши данные, так что можете не бояться

 

[Ласточка]

Специалистам нафиг не нужны ваши данные, так что можете не бояться

Да нет там никаких секретных данных.
Есть нравственная сторона, есть конфиденциальный частный контент.
У меня он по договору, так что никак... простите.

 

[Hope]

Та давайте перестанем обсуждать моменты доступа и вернёмся к теме...

Спасибо за совет, попробую.

Попробовали?