Re: [gepi-users] Erreur : 403 forbidden

2020-09-28 Par sujet F.Darparens 
Bonjour et merci Stéphane et Jean-Luc,

Jean-Luc
pour toutes ces pistes et astuces.
Je continue mes investigations...
L'idée de l'autre site m'a mis la puce à l'oreille. En effet, nous avons un
ent qui fonctionne sur un autre sous-domaine. Il est peut-être aussi à
l'origine de l'erreur. Je poursuis mes recherches.

Stéphane,
J'ai accès au log, et aucune trace de l'erreur 403. Et rien de particulier
avant l'erreur. pour la seule et unique adresse ip incriminée.
J'ai essayé de forcer l'erreur mais je n'ai pas réussi à la reproduire à
partir de GEPI. Elle se reproduit toujours sans raison apparente...

Je vais poursuivre mes tests cette semaine (vider les caches des
ordinateurs du lycée..., journée sans ENT,...
Je vous tiens au courant.

Bien Cordialement,

F. Darparens




Le mer. 23 sept. 2020 à 08:34, Gepi  a écrit :

> Bonjour,
>
> Je suis moi aussi chez O2switch et n'ai pas ce type de problème.
>
> Pour php, les options sont dans cpanel, logiciels, sélectionner une
> version de php, options.
>
> J'ai eu une fois le problème que vous rencontrez (erreurs 403, 500, time
> out...) mais avec une autre application que GEPI.
>
> Les scripts PHP étaient exécutés en mode CGI. Dans ce cas, le thread du
> fichier n'est pas forcément libéré à la fin du script.
>
> C'était un SetHandler application/x-httpd-phpxx qui trainait dans un
> .htaccess pour forcer une version de php en cgi. J'ai mis un # devant et
> mes problèmes ont cessé. A vérifier donc.
>
> Dans cpanel à droite dans les statistiques, vous avez des infos et entre
> autres les Processus Démarrés X / 75 (X%). Si les thread ne sont pas
> libérés cela monte à 75 et provoque des erreurs.
>
> Sinon, en ftp, à la racine de votre dossier GEPI (comme pour tous e
> dossiers), vous avez normalement un fichier error_log. Toutes les erreurs
> liée à php sont dans ce fichier.
>
> Cela peut être aussi un autre script sur votre machine qui prend à un
> moment de données trop de ressources et qui provoque cette erreur
> aléatoire. En scrutant le panneau statistiques dans cpanel, vous pouvez
> peut être la visualiser.
>
> Voila, ce ne sont que des pistes, mais si j'ai pu aider...
>
> Cordialement,
> Jean-Luc
>
> -Message d'origine-
> De : Gepi-users  De la part de
> Stephane Boireau
> Envoyé : lundi 21 septembre 2020 08:06
> À : gepi-users@lists.sylogix.net
> Objet : Re: [gepi-users] Erreur : 403 forbidden
>
> Bonjour,
>
> Le 20/09/2020 à 20:11, F.Darparens a écrit :
> > J'ai vérifié mon réseau, et je me suis renseigné chez O2switch (notre
> > hébergeur).
> > Il se trouve qu'ils ont un anti-ddos qui bloque une adresse ip à
> > partir de
> > 5 erreurs par tranche de 6 minutes. (non paramétrable).
> >
> >
> > Il est vrai que le nombre d'alertes de sécurité, est très élevé.
> > Hormis les fautes de frappe, je trouve beaucoup de : "Accès à une page
> > sans être logué (peut provenir d'un timeout de session)."
> > *Existe-t-il un moyen de contourner ces erreurs ?*
>
> En principe ces "Accès à une page sans être logué
> > (peut provenir d'un timeout de session)." ne provoquent pas d'erreur
> 403... juste l'envoi d'un mail.
>
> O2Switch ne donne pas accès à un fichier de log pour indiquer quelle
> adresse était ciblée?
>
>
> > - De plus, j’ai remarqué dans la console de Firefox le message suivant :
> >
> > Certains cookies utilisent incorrectement l’attribut recommandé «
> > SameSite » 2
> >
> > Le cookie « GEPI_start_session » sera bientôt rejeté car son attribut
> > « SameSite » est défini sur « None » ou une valeur invalide et il n’a
> > pas l’attribut « secure ». Pour en savoir plus sur l’attribut «
> > SameSite », consultez
> > https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSit
> > e → https://gepi.x.fr/lib/cookieClass.js
> >
> > Les cookies incriminés seraient GEPI_start_session et GEPI
> >
> > dans les deux cas nous avons : Samesite : « None » Secure : false
> >
> > *Comment est-il possible de le modifier ?*
>
> Je n'arrive pas à reproduire le pb.
>
> Est-ce que modifier la ligne 32
> var cookieString = setValue+setExpiration+setPath+setDomain;
> en (sur une seule ligne)
> var cookieString = setValue+setExpiration+setPath+setDomain+';
> SameSite=strict';
> fait disparaitre l'erreur sur le GEPI_start_session?
>
>
> Pour l'autre cookie, c'est géré différemment.
>
>
> > - Enfin, j'ai voulu modifier la durée maximale de session : mais dans
> > la page d'administration je lis :
> >
> > Durée maximum d'inactivité :
> > (*Durée d'inactivité, en minutes, au bout de laquelle un utilisateur
> > est a

Re: [gepi-users] Erreur : 403 forbidden

2020-09-23 Par sujet Gepi 
Bonjour,

Je suis moi aussi chez O2switch et n'ai pas ce type de problème.

Pour php, les options sont dans cpanel, logiciels, sélectionner une version de 
php, options.

J'ai eu une fois le problème que vous rencontrez (erreurs 403, 500, time 
out...) mais avec une autre application que GEPI.

Les scripts PHP étaient exécutés en mode CGI. Dans ce cas, le thread du fichier 
n'est pas forcément libéré à la fin du script.

C'était un SetHandler application/x-httpd-phpxx qui trainait dans un .htaccess 
pour forcer une version de php en cgi. J'ai mis un # devant et mes problèmes 
ont cessé. A vérifier donc.

Dans cpanel à droite dans les statistiques, vous avez des infos et entre autres 
les Processus Démarrés X / 75 (X%). Si les thread ne sont pas libérés cela 
monte à 75 et provoque des erreurs.

Sinon, en ftp, à la racine de votre dossier GEPI (comme pour tous e dossiers), 
vous avez normalement un fichier error_log. Toutes les erreurs liée à php sont 
dans ce fichier.

Cela peut être aussi un autre script sur votre machine qui prend à un moment de 
données trop de ressources et qui provoque cette erreur aléatoire. En scrutant 
le panneau statistiques dans cpanel, vous pouvez peut être la visualiser.

Voila, ce ne sont que des pistes, mais si j'ai pu aider...

Cordialement,
Jean-Luc

-Message d'origine-
De : Gepi-users  De la part de Stephane 
Boireau
Envoyé : lundi 21 septembre 2020 08:06
À : gepi-users@lists.sylogix.net
Objet : Re: [gepi-users] Erreur : 403 forbidden

Bonjour,

Le 20/09/2020 à 20:11, F.Darparens a écrit :
> J'ai vérifié mon réseau, et je me suis renseigné chez O2switch (notre 
> hébergeur).
> Il se trouve qu'ils ont un anti-ddos qui bloque une adresse ip à 
> partir de
> 5 erreurs par tranche de 6 minutes. (non paramétrable).
> 
> 
> Il est vrai que le nombre d'alertes de sécurité, est très élevé. 
> Hormis les fautes de frappe, je trouve beaucoup de : "Accès à une page 
> sans être logué (peut provenir d'un timeout de session)."
> *Existe-t-il un moyen de contourner ces erreurs ?*

En principe ces "Accès à une page sans être logué
> (peut provenir d'un timeout de session)." ne provoquent pas d'erreur
403... juste l'envoi d'un mail.

O2Switch ne donne pas accès à un fichier de log pour indiquer quelle adresse 
était ciblée?


> - De plus, j’ai remarqué dans la console de Firefox le message suivant :
> 
> Certains cookies utilisent incorrectement l’attribut recommandé « 
> SameSite » 2
> 
> Le cookie « GEPI_start_session » sera bientôt rejeté car son attribut 
> « SameSite » est défini sur « None » ou une valeur invalide et il n’a 
> pas l’attribut « secure ». Pour en savoir plus sur l’attribut « 
> SameSite », consultez 
> https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSit
> e → https://gepi.x.fr/lib/cookieClass.js
> 
> Les cookies incriminés seraient GEPI_start_session et GEPI
> 
> dans les deux cas nous avons : Samesite : « None » Secure : false
> 
> *Comment est-il possible de le modifier ?*

Je n'arrive pas à reproduire le pb.

Est-ce que modifier la ligne 32
var cookieString = setValue+setExpiration+setPath+setDomain;
en (sur une seule ligne)
var cookieString = setValue+setExpiration+setPath+setDomain+';
SameSite=strict';
fait disparaitre l'erreur sur le GEPI_start_session?


Pour l'autre cookie, c'est géré différemment.


> - Enfin, j'ai voulu modifier la durée maximale de session : mais dans 
> la page d'administration je lis :
> 
> Durée maximum d'inactivité :
> (*Durée d'inactivité, en minutes, au bout de laquelle un utilisateur 
> est automatiquement déconnecté de Gepi.*) *Attention*, la variable
> *session.maxlifetime* dans le fichier *php.ini* est réglée à 1440 
> secondes, soit un maximum de 24 minutes pour la session (* 
> <https://gepi.lestonnac-cneap.fr/mod_serveur/test_serveur.php#reglages
> _php>
> ).
> 
> Je ne trouve pas le fichier php.ini et dans la base de donnée dans la 
> table
> : setting, je vois : sessionMaxLength 50 (qui est la durée souhaitée).
> (Alors que la durée de session est bien de 50 minutes, j'ai vérifié 
> avec un chronomètre).
> Est-ce normal ?

Le paramètre
session.gc_maxlifetime = 1440
est le paramètre par défaut du php.ini
De ce paramètre et de celui dans la base mysql c'est le plus restrictif qui 
l'emporte.

Je ne sais pas si O2Switch peut vous donner la main sur un fichier php.ini ou 
sur un autre fichier de paramètres personnels.
Sur ma machine perso, pour modifier les paramètres php.ini, je fais prendre en 
compte un fichier
/etc/php/7.4/apache2/conf.d/30-perso.ini
O2Switch propose-t-il quelque chose de ce genre?

Sinon, c'est le session.gc_maxlifetime qui l'emportera.


Bien cordialement
--
Stephane Boireau
Collège Le Hameau - Bernay (27)
_

Re: [gepi-users] Erreur : 403 forbidden

2020-09-21 Par sujet Stephane Boireau 
Bonjour,

Le 20/09/2020 à 20:11, F.Darparens a écrit :
> J'ai vérifié mon réseau, et je me suis renseigné chez O2switch (notre
> hébergeur).
> Il se trouve qu'ils ont un anti-ddos qui bloque une adresse ip à partir de
> 5 erreurs par tranche de 6 minutes. (non paramétrable).
> 
> 
> Il est vrai que le nombre d'alertes de sécurité, est très élevé. Hormis les
> fautes de frappe, je trouve beaucoup de : "Accès à une page sans être logué
> (peut provenir d'un timeout de session)."
> *Existe-t-il un moyen de contourner ces erreurs ?*

En principe ces "Accès à une page sans être logué
> (peut provenir d'un timeout de session)." ne provoquent pas d'erreur
403... juste l'envoi d'un mail.

O2Switch ne donne pas accès à un fichier de log pour indiquer quelle
adresse était ciblée?


> - De plus, j’ai remarqué dans la console de Firefox le message suivant :
> 
> Certains cookies utilisent incorrectement l’attribut recommandé
> « SameSite » 2
> 
> Le cookie « GEPI_start_session » sera bientôt rejeté car son attribut
> « SameSite » est défini sur « None » ou une valeur invalide et il n’a pas
> l’attribut « secure ». Pour en savoir plus sur l’attribut « SameSite »,
> consultez
> https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
> → https://gepi.x.fr/lib/cookieClass.js
> 
> Les cookies incriminés seraient GEPI_start_session et GEPI
> 
> dans les deux cas nous avons : Samesite : « None » Secure : false
> 
> *Comment est-il possible de le modifier ?*

Je n'arrive pas à reproduire le pb.

Est-ce que modifier la ligne 32
var cookieString = setValue+setExpiration+setPath+setDomain;
en (sur une seule ligne)
var cookieString = setValue+setExpiration+setPath+setDomain+';
SameSite=strict';
fait disparaitre l'erreur sur le GEPI_start_session?


Pour l'autre cookie, c'est géré différemment.


> - Enfin, j'ai voulu modifier la durée maximale de session : mais dans la
> page d'administration je lis :
> 
> Durée maximum d'inactivité :
> (*Durée d'inactivité, en minutes, au bout de laquelle un utilisateur est
> automatiquement déconnecté de Gepi.*) *Attention*, la variable
> *session.maxlifetime* dans le fichier *php.ini* est réglée à 1440 secondes,
> soit un maximum de 24 minutes pour la session (*
> 
> ).
> 
> Je ne trouve pas le fichier php.ini et dans la base de donnée dans la table
> : setting, je vois : sessionMaxLength 50 (qui est la durée souhaitée).
> (Alors que la durée de session est bien de 50 minutes, j'ai vérifié avec un
> chronomètre).
> Est-ce normal ?

Le paramètre
session.gc_maxlifetime = 1440
est le paramètre par défaut du php.ini
De ce paramètre et de celui dans la base mysql c'est le plus restrictif
qui l'emporte.

Je ne sais pas si O2Switch peut vous donner la main sur un fichier
php.ini ou sur un autre fichier de paramètres personnels.
Sur ma machine perso, pour modifier les paramètres php.ini, je fais
prendre en compte un fichier
/etc/php/7.4/apache2/conf.d/30-perso.ini
O2Switch propose-t-il quelque chose de ce genre?

Sinon, c'est le session.gc_maxlifetime qui l'emportera.


Bien cordialement
-- 
Stephane Boireau
Collège Le Hameau - Bernay (27)
_
Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki
Pour modifier ou rsilier votre abonnement  cette liste :
https://lists.sylogix.net/mailman/listinfo/gepi-users

Re: [gepi-users] Erreur : 403 forbidden

2020-09-20 Par sujet F.Darparens 
Bonsoir,

Merci pour votre réponse rapide.
(Elle s'est perdue dans mes spams...)

J'ai vérifié mon réseau, et je me suis renseigné chez O2switch (notre
hébergeur).
Il se trouve qu'ils ont un anti-ddos qui bloque une adresse ip à partir de
5 erreurs par tranche de 6 minutes. (non paramétrable).


Il est vrai que le nombre d'alertes de sécurité, est très élevé. Hormis les
fautes de frappe, je trouve beaucoup de : "Accès à une page sans être logué
(peut provenir d'un timeout de session)."
*Existe-t-il un moyen de contourner ces erreurs ?*

- De plus, j’ai remarqué dans la console de Firefox le message suivant :

Certains cookies utilisent incorrectement l’attribut recommandé
« SameSite » 2

Le cookie « GEPI_start_session » sera bientôt rejeté car son attribut
« SameSite » est défini sur « None » ou une valeur invalide et il n’a pas
l’attribut « secure ». Pour en savoir plus sur l’attribut « SameSite »,
consultez
https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
→ https://gepi.x.fr/lib/cookieClass.js

Les cookies incriminés seraient GEPI_start_session et GEPI

dans les deux cas nous avons : Samesite : « None » Secure : false


*Comment est-il possible de le modifier ?*


- Enfin, j'ai voulu modifier la durée maximale de session : mais dans la
page d'administration je lis :

Durée maximum d'inactivité :
(*Durée d'inactivité, en minutes, au bout de laquelle un utilisateur est
automatiquement déconnecté de Gepi.*) *Attention*, la variable
*session.maxlifetime* dans le fichier *php.ini* est réglée à 1440 secondes,
soit un maximum de 24 minutes pour la session (*

).

Je ne trouve pas le fichier php.ini et dans la base de donnée dans la table
: setting, je vois : sessionMaxLength 50 (qui est la durée souhaitée).

(Alors que la durée de session est bien de 50 minutes, j'ai vérifié avec un
chronomètre).
Est-ce normal ?

Les données de base de notre serveur web :
Nous avons changé d'hébergeur pendant les vacances en passant d'OVH à
O2Switch.

OS serveur : Linux - Linux oregon.o2switch.net
3.10.0-962.3.2.lve1.5.26.3.el7.x86_64 #1 SMP Wed Aug 14 08:29:59 EDT 2019
x86_64
Le register_globals est à off.
Le serveur web est Apache
Encodage inconnu -> encodage par défaut : *inconnu*.
Votre version de php est la 7.3.21 (Gepi nécessite php 5.2.x minimum).
Votre version de serveur de base de données MySql est la
5.5.5-10.3.24-MariaDB.
Votre version du module GD est la bundled (2.1.0 compatible) (indispensable
pour toutes les images).


Cordialement,

F. Darparens




Le lun. 7 sept. 2020 à 20:50, Stephane Boireau <
stephane.boir...@ac-normandie.fr> a écrit :

> Bonsoir,
>
> Le 07/09/2020 à 19:43, F.Darparens a écrit :
> > Depuis la rentrée, le message "403 forbidden" apparaît fréquemment lors
> de
> > la validation des identifiants.
> > Ce phénomène se produit pendant quelques heures de la journée. L'erreur
> 403
> > ne dure qu'une heure ou deux... et se reproduit après une accalmie...
> > Elle concerne tous les utilisateurs mais seulement sur les postes
> connectés
> > au routeur de l'établissement. (En passant par la 4G il est possible de
> > contourner le problème et de se connecter). Blocage de l'adresse IP ?
>
> Il faudrait contrôler le réseau de l'établissement ou contacter l'équipe
> Réseaux de l'académie pour avis.
>
>
> > Dans alerte sécurité : j'ai relevé que nombreuses erreurs de type
> "Attaque
> > Extérieure" sont quelquefois dûes à des "Accès à une page sans être logué
> > (peut provenir d'un timeout de session)".
>
>
>
> Bien cordialement.
> --
> Stephane Boireau
> Collège Le Hameau - Bernay (27)
>
> _
> Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki
> Pour modifier ou rsilier votre abonnement  cette liste :
> https://lists.sylogix.net/mailman/listinfo/gepi-users
>
_
Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki
Pour modifier ou r�silier votre abonnement � cette liste :
https://lists.sylogix.net/mailman/listinfo/gepi-users

Re: [gepi-users] Erreur : 403 forbidden

2020-09-07 Par sujet Stephane Boireau 
Bonsoir,

Le 07/09/2020 à 19:43, F.Darparens a écrit :
> Depuis la rentrée, le message "403 forbidden" apparaît fréquemment lors de
> la validation des identifiants.
> Ce phénomène se produit pendant quelques heures de la journée. L'erreur 403
> ne dure qu'une heure ou deux... et se reproduit après une accalmie...
> Elle concerne tous les utilisateurs mais seulement sur les postes connectés
> au routeur de l'établissement. (En passant par la 4G il est possible de
> contourner le problème et de se connecter). Blocage de l'adresse IP ?

Il faudrait contrôler le réseau de l'établissement ou contacter l'équipe
Réseaux de l'académie pour avis.


> Dans alerte sécurité : j'ai relevé que nombreuses erreurs de type "Attaque
> Extérieure" sont quelquefois dûes à des "Accès à une page sans être logué
> (peut provenir d'un timeout de session)".



Bien cordialement.
-- 
Stephane Boireau
Collège Le Hameau - Bernay (27)
_
Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki
Pour modifier ou rsilier votre abonnement  cette liste :
https://lists.sylogix.net/mailman/listinfo/gepi-users