Bonjour, Le 20/09/2020 à 20:11, F.Darparens a écrit : > J'ai vérifié mon réseau, et je me suis renseigné chez O2switch (notre > hébergeur). > Il se trouve qu'ils ont un anti-ddos qui bloque une adresse ip à partir de > 5 erreurs par tranche de 6 minutes. (non paramétrable). > > > Il est vrai que le nombre d'alertes de sécurité, est très élevé. Hormis les > fautes de frappe, je trouve beaucoup de : "Accès à une page sans être logué > (peut provenir d'un timeout de session)." > *Existe-t-il un moyen de contourner ces erreurs ?*
En principe ces "Accès à une page sans être logué > (peut provenir d'un timeout de session)." ne provoquent pas d'erreur 403... juste l'envoi d'un mail. O2Switch ne donne pas accès à un fichier de log pour indiquer quelle adresse était ciblée? > - De plus, j’ai remarqué dans la console de Firefox le message suivant : > > Certains cookies utilisent incorrectement l’attribut recommandé > « SameSite » 2 > > Le cookie « GEPI_start_session » sera bientôt rejeté car son attribut > « SameSite » est défini sur « None » ou une valeur invalide et il n’a pas > l’attribut « secure ». Pour en savoir plus sur l’attribut « SameSite », > consultez > https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite > → https://gepi.xxxxxxxxxxxxx.fr/lib/cookieClass.js > > Les cookies incriminés seraient GEPI_start_session et GEPI > > dans les deux cas nous avons : Samesite : « None » Secure : false > > *Comment est-il possible de le modifier ?* Je n'arrive pas à reproduire le pb. Est-ce que modifier la ligne 32 var cookieString = setValue+setExpiration+setPath+setDomain; en (sur une seule ligne) var cookieString = setValue+setExpiration+setPath+setDomain+'; SameSite=strict'; fait disparaitre l'erreur sur le GEPI_start_session? Pour l'autre cookie, c'est géré différemment. > - Enfin, j'ai voulu modifier la durée maximale de session : mais dans la > page d'administration je lis : > > Durée maximum d'inactivité : > (*Durée d'inactivité, en minutes, au bout de laquelle un utilisateur est > automatiquement déconnecté de Gepi.*) *Attention*, la variable > *session.maxlifetime* dans le fichier *php.ini* est réglée à 1440 secondes, > soit un maximum de 24 minutes pour la session (* > <https://gepi.lestonnac-cneap.fr/mod_serveur/test_serveur.php#reglages_php> > ). > > Je ne trouve pas le fichier php.ini et dans la base de donnée dans la table > : setting, je vois : sessionMaxLength 50 (qui est la durée souhaitée). > (Alors que la durée de session est bien de 50 minutes, j'ai vérifié avec un > chronomètre). > Est-ce normal ? Le paramètre session.gc_maxlifetime = 1440 est le paramètre par défaut du php.ini De ce paramètre et de celui dans la base mysql c'est le plus restrictif qui l'emporte. Je ne sais pas si O2Switch peut vous donner la main sur un fichier php.ini ou sur un autre fichier de paramètres personnels. Sur ma machine perso, pour modifier les paramètres php.ini, je fais prendre en compte un fichier /etc/php/7.4/apache2/conf.d/30-perso.ini O2Switch propose-t-il quelque chose de ce genre? Sinon, c'est le session.gc_maxlifetime qui l'emportera. Bien cordialement -- Stephane Boireau Collège Le Hameau - Bernay (27) _________________________________________________________________________________ Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki Pour modifier ou rsilier votre abonnement cette liste : https://lists.sylogix.net/mailman/listinfo/gepi-users
