XF 1.5 У Вас нет прав для просмотра этой страницы или для выполнения этого действия.

[Ласточка]

Всем привет!

Уже несколько месяцев пытаюсь выявить и побороть досадный баг, причины возникновения которого мне, к сожалению, неизвестны (и уже не узнать) :(
Прошу комьюнити помочь мне разобраться и побороть гадину, т.к мемберы уже задолбали... а я ничего не могу сделать! Мои поиски причины успехом не увенчались :(

Суть бага проста и заключается в том, что при нажатии на кнопку Загрузить файл (кнопку справа от Ответить) исключительно в темах/сообщениях форума получаем ошибки:

1. Если включен режим Flash-загрузки, по ссылке вида

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

и прохода индикатора загрузки до 100% получаем в оверлее следующее (исходник):

{
-
error: (1)[
"Обнаружено нарушение безопасности. Пожалуйста, нажмите "Назад" в браузере, обновите страницу и попробуйте снова."
],

templateHtml: "

<div class="errorOverlay">
<a class="close OverlayCloser"></a>
<h2 class="heading">Произошла ошибка:</h2>
<div class="baseHtml">
<label for="ctrl_0" class="OverlayCloser">Обнаружено нарушение безопасности. Пожалуйста, нажмите "Назад" в браузере, обновите страницу и попробуйте снова.</label>
</div>
</div>",
_visitor_conversationsUnread: "7",
_visitor_alertsUnread: "2"
}

2. Если же режим Flash-загрузки отключен, по ссылке вида

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

получаем (сразу после клика по кнопке) в оверлее следующее (исходник):

{
- error: (1)[
"У Вас нет прав для просмотра этой страницы или для выполнения этого действия."
],

templateHtml: "
<div class="errorOverlay">
<a class="close OverlayCloser"></a>
<h2 class="heading">Произошла ошибка:</h2>
<div class="baseHtml">
<label for="ctrl_0" class="OverlayCloser">У Вас нет прав для просмотра этой страницы или для выполнения этого действия.</label>
</div>
</div>",
_visitor_conversationsUnread: "7",
_visitor_alertsUnread: "2"
}

При этом:
- ID юзера = 1 (суперадмин), впрочем загрузка в темы не работает для всех групп (те же симптомы).
- Все возможные относящиеся к Загрузке файлов права в Админке (Админы, Модераторы, Группа и индивидуально) и во всех разделах (раздел с тестовой темой, родительская категория) на загрузку и просмотр вложенных файлов выданы!
- Та же функция в переписках, сообщениях профиля и дополнениях (вроде Showcase, Gallery, Teams etc.) происходит без каких-либо проблем, т.е работает исправно!
- Ошибки в Админке форума отсутствуют.
- Чистый дистриб той же версии (1.5.9), с тем же стилем (Soft Responsive), c Redis-кэшем и поднятый на том же сервере прекрасно добавляет вложения в темы...!
- Вложения в старых темах отображаются и под сообщением, и добавленных изображениях... но, при этом какие-либо модификации с ними произвести невозможно (удаление, редактирование и т.д) :(

Please, help me!

 

[Ласточка]

Та давайте перестанем обсуждать моменты доступа и вернёмся к теме...


Попробовали?

Это не такая быстрая процедура...
Попробовала. Никаких изменений.

 

[Smalesh]

Попробовала. Никаких изменений.

У себя в hosts прописать ip форума и зайти напрямую, в обход всяких защит. Проблема осталась?

 

[Ласточка]

У себя в hosts прописать ip форума и зайти напрямую, в обход всяких защит. Проблема осталась?

Интересный вариант...
К сожалению, всё по старому :(

Есть соображения, что у меня установлены неверные права на папки форума.
Например, у меня стоит 777 на data и internal_data, и все файлы в них (как в мануале).
При этом owner apache.apache и mod_php70.

Может для такой связки это неверные права?

 

[Smalesh]

К сожалению, всё по старому :(

Значит остаются плагины (которые 100500 раз могут быть лицензионными и столько же раз кривыми) или настройки самого сервера

К слову, при правильно настроенном антиддосе страница форума не должна была открываться.

Например, у меня стоит 777 на data и internal_data, и все файлы в них (как в мануале).

В данном случае это не права. Но если php работает как mod_php с правами www/www-data, нужно выкинуть мануал и нанять системного администратора.

 

[Ласточка]

Но если php работает как mod_php с правами www/www-data, нужно выкинуть мануал и нанять системного администратора.

Зачем? Если на сервере один сайт?

 

[Smalesh]

Зачем? Если на сервере один сайт?

Если на сервере один сайт и php работает от www, то достаточно 0700, владелец на папки www:www - это классический вариант. Или 0770, на случай если ftp юзверь не www, но в одной группе. Плюс я не вижу вышестоящего nginx на front-end. Зато есть redis, который я даже на средние проекты далеко не всегда ставлю. Но это все оффтоп, так, мысли в слух относительно прав, чистый то дистрибутив рядом работает. А значит все крутится возле _xfToken - его ломает сам плагин или конфликт между ними; или с серверной стороны, подсовывается старый, с кеша - как пример. Ну и почитать серверные логи, на предмет того, что происходит в данный момент. В тяжелых случаях можно tcpdump посмотреть, что прилетает и что улетает, или любой удобный снифер.

 

[Ласточка]

Если на сервере один сайт и php работает от www, то достаточно 0700, владелец на папки www:www - это классический вариант. Или 0770, на случай если ftp юзверь не www, но в одной группе. Плюс я не вижу вышестоящего nginx на front-end. Зато есть redis, который я даже на средние проекты далеко не всегда ставлю. Но это все оффтоп, так, мысли в слух относительно прав, чистый то дистрибутив рядом работает. А значит все крутится возле _xfToken - его ломает сам плагин или конфликт между ними; или с серверной стороны, подсовывается старый, с кеша - как пример. Ну и почитать серверные логи, на предмет того, что происходит в данный момент. В тяжелых случаях можно tcpdump посмотреть, что прилетает и что улетает, или любой удобный снифер.

Спасибо за развёрнутое пояснение!
Про редис - я уже поняла намёк Администратора и отключила пока всё кеширование форума.

Сейчас попробую поправить права на файлы и папки.
Есть несколько вопросов:
- какая маска прав для скриптов и остальных файлов?
- 0700 будет достаточно для всех катаголов, включая data, internal_data?

А потом проведу поиск по содержимому файлов с ключем _xfToken.
Посмотрю что может иметь отношение к загрузке файлов.

А еще, у меня есть небольшое продвижение по клиентской консоли Java.
Удалось избавиться от ошибок Forbidden (403) в консоли отладки, но вместо него теперь появляется вот такое:

xenforo.js?_v=c5fdd36a:290 Attempted to call XenForo.OverlayLoader.show() for https://сайт/attachments/upload?hash=25e5c161871350fb68ab732a14bc32ec&content_type=post&content_data[thread_id]=7987 before overlay is created
xenforo.js?_v=c5fdd36a:288 OverlayLoader for https://сайт/attachments/upload?hash=25e5c161871350fb68ab732a14bc32ec&content_type=post&content_data[thread_id]=7987

Верхний запрос xenforo.js - warning.
Нижний - info.

Результат - неизменен.

 

[Smalesh]

- какая маска прав для скриптов и остальных файлов?
- 0700 будет достаточно для всех катаголов, включая data, internal_data?

Маска полностью будет зависеть от того, как настроен сервер. Еще нужно проверить владельца, т.к. часто лезут копировать под рутом (или другим пользователем), а потом выстраивают костыли.
Не руководство к действию, а так, почитать, посмотреть

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Но обычно ошибки с правами дают весьма характерные ошибки в логах web-сервера.

 

[ivanzzz]

А потом проведу поиск по содержимому файлов с ключем _xfToken.
Посмотрю что может иметь отношение к загрузке файлов.

Удалось как то решить проблему с загрузкой вложений?

С чем это было связано?

 

[Mirovinger]

Некропостеры, обновитесь до последней версии первой ветки хотя бы, там это исправлено - XenForo 1.5.24 Nulled By XenForo.Info.