Logeos y apariciones de otras cuentas

[chronosig]

Buenas gran comunidad de SMF, como siempre y desde ya agradecimientos para aquellos que destinan tanto tiempo para ayudar a los demás 

Les comento que estoy teniendo un error muy, muy raro. Esto me sucede desde que me mudé de un host a otro (ya me he mudado varias veces y siempre realicé los mismos pasos, todo salió perfecto pero ésta vez ya detecté un problema)

El tema es así, en ocasiones (no siempre) un usuario se logea y aparece con otra cuenta, pero ésto es solo visual, cuando éste usuario actualiza la página ya aparece con su cuenta actual. Es extremadamente raro pero sucede, o por ejemplo, alguien abre con un navegador incógnito el foro y aparece logeado con mi cuenta administrador (pudiendo visualizar los foros ocultos incluso) pero si quiere entrar a algún foro, o a ver los mensajes, o a donde sea entonces ahí el foro le da un error de autenticación, de que no está logeado. Es como un logeo fantasma.

Alguna vez les pasó? me preocupa porque los usuarios a veces se logean y aparecen con el nombre de otras cuentas, y hasta que no actualizan no aparece su cuenta real.

Pasos que hice:
- Vacié la table de sesion
- Renové caché

Versión de foro SMF 2.0.15

[d3vcho]

¿Qué tema estás usando en tu foro? ¿Pasa lo mismo con el tema por defecto de SMF? ¿Qué modificaciones tienes instaladas?

[chronosig]

¿Qué tema estás usando en tu foro? ¿Pasa lo mismo con el tema por defecto de SMF? ¿Qué modificaciones tienes instaladas?

El Yattagan. Tengo varios mods pero lo extraño es que nunca me pasó (teniendo la misma cantidad de mods y el mismo tema instalado).

No puedo probarlo con el tema por defecto del SMF ya que no me funciona, luego de instalar el yattagan y meter varios mods ahí, quedó con errores hace mucho y nunca me preocupe en solucionarlos ya que nadie usa ese tema en mi foro.

[d3vcho]

Quizás es algún problema del propio tema que no actualiza las sesiones debidamente. Si pudieses dejar un enlace a dicho tema lo agradecería bastante.

También es posible que el nuevo host tenga activadas diversas funciones que el antiguo no tenía. Pregunta en tu host si tienen mod_security activado, y de ser el caso, pide su desactivación.

[chronosig]

Quizás es algún problema del propio tema que no actualiza las sesiones debidamente. Si pudieses dejar un enlace a dicho tema lo agradecería bastante.

También es posible que el nuevo host tenga activadas diversas funciones que el antiguo no tenía. Pregunta en tu host si tienen mod_security activado, y de ser el caso, pide su desactivación.

Necesitas el link del tema o de mi foro? el del tema es este https://smftricks.com/index.php?topic=1341.0

Ahí estoy consultando eso al host actual.

[d3vcho]

Al ser un tema de pago, deberías también contactar con SMFTricks para verificar que no es fallo del tema. Es muy probable que no lo sea, pero nunca está de más preguntar, y más siendo de pago.

[chronosig]

Al ser un tema de pago, deberías también contactar con SMFTricks para verificar que no es fallo del tema. Es muy probable que no lo sea, pero nunca está de más preguntar, y más siendo de pago.

Por lo que me comentó el host si tienen activo el mod_security.

Ya pedí que lo desactiven.

Disculpe mi ignorancia, en qué afecta este mod_security? me gustaría saberlo ya que en el host me lo están preguntando, el por qué tengo que desactivarlo.

[chronosig]

Ya desactivé el mod_security, cualquier cosa si tengo algún error similar lo aviso.

Gracias a todos 

[d3vcho]

Te dejo aquí este fragmento del manual (en inglés):

Some hosts have something called mod_security installed on their server. This is a module added to the server application which is supposed to provide additional back-end security checks on the other software running on the server. While it can be useful, when properly configured, many hosts do not configure it correctly. As a result, it triggers security protocols on standard actions which should be allowed, causing errors which include "403" or "Access denied" errors, 404 errors, login problems, difficulties with modifying categories and boards, or similar issues.

https://wiki.simplemachines.org/smf/Mod_security_-_Having_problems_with_mod_security

Si no entiendes correctamente el inglés, simplemente dice que normalmente los hosts no configuran bien este módulo que proporciona ciertas medidas de seguridad a nivel de backend. Debido a esa mala configuración se generan errores de inicio de sesión, errores 404, 403, Acceso denegado y diversas dificultades más.

[chronosig]

Excelente dato, muy amable para compartirlo.

Bueno, lo desactivé ayer y hoy me apareció el problema nuevamente. Me logeo con mi cuenta administrador y veía que estaba con la cuenta de otro usuario, pero claro al actualizar la página ya estaba logeado con mi cuenta administrador.

Algo que quizás pueda generar conflico, es tener 2 caché? yo utilizo cloudfare y tengo activo el caché de ahí, también tengo un caché por parte del host, esto puede generar el conflicto?

Preventivamente desactivé el caché de cloudfare a ver si no vuelve a ocurrir.

[d3vcho]

Es probable que sí. Tener dos cachés significa que ambas no tienen por qué estar actualizadas con la misma información en un momento determinado.

Has marcado el tema como resuelto, pero aún no sabemos si está resuelto o no.

[chronosig]

No quiero volver a crear un tema con lo mismo porque quizás sea reiterativo. Francamente pensé que con el mod_security se solucionaría pero no fue así.

Si es posible dejar el tema abierto, estoy probando lo del caché a ver si funciona eso.

[-Rock Lee-]

Lo que respecta al cache del foro y de cloudfire te recomiendo uses la del foro unicamente, con varias web me dieron problemas por no sincroniza del todo bien por la forma de trabajar o conectarse. Lo de marcado como resuelto fue mi error no me percate que dio click, tengo el raton muy sensible y se me escapan algunos clicks.


Saludos!

[chronosig]

Bueno, me sigue sucediendo. Los usuarios logean y aparecen con otro usuario y hasta que no actualizan no se les cambia.

Se me acabaron las ideas.

[-Rock Lee-]

¿Deshabilitaste el cache del foro? ademas de ¿limpiar tanto la del foro como la de cloudfire?, por lo general tarda de 24 a 72 horas el tema del cache (es el rango me tardo con varias web he tenido el mismo problema). Deberia hacerlo automaticamente pero algunas veces los usuarios deben borrar el cache de sus navegadores para que tome los nuevos parametros...


Saludos!

[chronosig]

Entonces lo que me recomendás es:

1) Desactivar el caché del foro y limpiarlo (asumo que de alguna tabla, no?)
2) Desactivar el caché de cloudfare y purgarlo

Esperar 72hs dejando deshabilitados todos los caché.

Algo más a recomendar?

[-Rock Lee-]

Una pregunta ¿Probaste solo dejar habilitado el cache del foro y desactivar el cache de cloudfire? si sigue sin funcionar prueba limpiando todo para tome los valores de 0, si incluso con eso no funciona tiene que ser alguna configuracion mal hecha o faltante. Desde SMF en el apartado de mantenimiento podes vaciar el cache (trato de evitar tocar lo menos posible las tablas directamente), por lo general solo tarda 12 a 24hs el cloudfire en tomar algunos cambios no estoy del todo seguro como debe trabajar o como toma las prioridades pero es la franja promedio en las web me toco problemas similares.


Saludos!

[chronosig]

Bueno, primero muchas gracias por el dato.

Les cuento, el caché del foro quedó deshabilitado y en las opciones de sesión y cookies quedó así:

- Duración de cookies de conexión por defecto (en minutos): 60
- Activar el almacenamiento local de cookies : Deshabilitado
- Utilizar cookies independientes por subdominios: deshabilitado
- Utilizar sesiones controladas por base de datos: activado 
- Permitir a los navegadores ir atrás hacia páginas en caché: deshabilitado 
- Segundos transcurridos antes de que expire una sesión inactiva: 3600

[chronosig]

Bueno, no hubo caso. Varié un poco las opciones pero nada, sigue estando el mismo error.

Lo que estoy haciendo ahora es mudando nuevamente el foro tal y como está, al host anterior. Si no se presenta el problema entonces es algo de host, si se presenta el problema entonces es algo nuevo que se modificó en la source o en los themes.

[-Rock Lee-]

¿Cual es la url? me la podes pasar por privado sino queres hacerlo publico. Ahora recorde una web que atendi tenia exactamente el mismo problema aunque no usaba cloudfire, era algo respecto a la carga del servidor en si que recibia de tantas cosas tenia.


Saludos!

[chronosig]

¿Cual es la url? me la podes pasar por privado sino queres hacerlo publico. Ahora recorde una web que atendi tenia exactamente el mismo problema aunque no usaba cloudfire, era algo respecto a la carga del servidor en si que recibia de tantas cosas tenia.


Saludos!

URL enviada por privado, fijate la aclaración que te hice.

Muchísimas gracias!

[chronosig]

Bueno, les cuento que encontré la falla.

Probé en 2 host diferentes que tienen una gran diferencia, uno de los host tiene un cpanel con nginx (para quien no sepa, esto es como un caché interno a través de proxy que se supone mejora el rendimiento y velocidad de páginas webs). El otro host tiene un panel sin nginx.

Exactamente el mismo foro, misma DB, mismos archivos, en el panel con nginx falla (los logeos fantasmas) y en el otro no falla. Pero para realmente asegurar que sea esto, me busqué un tercer host con nginx y si, efectivamente la misma falla.

Ya podemos dar como "solucionado" el problema, dado que en realidad la solución no es a través del foro sino del alojamiento.

Y ya que estamos hablando de alojamientos, en su basto conocimiento, existe algún post (reciente) de host recomendables para alojar un foro SMF?

[-Rock Lee-]

Sospechaba podia ser Nginx por en el trabajo anterior con algunas modificaciones funciono, pero como era un servidor luego se paso a usar Apache para evitar esos problemas. En cuanto al tema de hospedaje necesitas un hosting como tal o servidor (capas una VPS) por que existen varios que son muy buenos la relacion precio/calidad.


Saludos!