Problem mit Authentifizierung (Firefox-Problem?)

ans2

Hallo zusammen,

ich betreue ein Web-Plattform und wir haben seit einiger Zeit Schwierigkeiten mit der Authentifizierung von Firefox-Nutzern. Das Problem zeigt sich dadurch, dass User, die sich am System anmelden und auf einen Link des geschützten Bereichs klicken, sofort wieder ausgeloggt werden. Für die Authentifikation wird das Auth-Paket von PEAR eingesetzt. Im Laufe der 3er Versionen des Firefox hat sich die Situation weiter zugespitzt. Nachdem anfangs nach dem Löschen von Cache und Cookies im Browser wieder eine "normale" Anmeldung am System möglich war, gibt es nun einige Nutzer bei denen diese Strategie nicht mehr hilft.

Mich würde interessieren, ob hier jemand ähnliche Erfahrungen gemacht hat oder mir vielleicht eine Anregung für die Fehlersuche geben könnte. Im folgenden sind die Header zweier Login-Versuche aufgeführt. Merkwürdig finde ich, dass dem Cookie beim ersten Versuch scheinbar zwei Session-IDs zugeordnet sind. Wie kann es dazu kommen?

Zunächst die Eckdaten des Servers:

Windows Server 2008
Apache 2.2.11 mit OpenSSL 0.9.8i
PHP 5.2.9-1
PEAR Auth 1.6.1
PostgreSQL 8.3

Mit LiveHTTPHeaders 0.15 und Firefox 3.0.11 aufgezeichnete Header:

1. Anmeldung am System mit Rauswurf nach Klick auf einen Link des geschützten Bereichs:

Code

https://www.testurl.de/secimage.php?sessionType=Student


GET /secimage.php?sessionType=Student HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php?action=login
Cookie: moveonline_cooperations=4304e99d60ba33d2caca5fcbe13f0490; PHPSESSID=a1823f4b50f1eedc364e0d5581eb5a65; PHPSESSID=4un3jccig2nkhdjfsd4omojbqvdo9ioe; authchallenge=777f6d289cbf101ecd1e29f47e653868


HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:22:10 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1369
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: image/jpeg
----------------------------------------------------------
https://www.testurl.de/index.php


POST /index.php HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php?action=login
Cookie: moveonline_cooperations=4304e99d60ba33d2caca5fcbe13f0490; PHPSESSID=a1823f4b50f1eedc364e0d5581eb5a65; PHPSESSID=4un3jccig2nkhdjfsd4omojbqvdo9ioe; authchallenge=777f6d289cbf101ecd1e29f47e653868
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
username=USER&password=PASSWORD&securityImage.x=0&securityImage.y=0&secImageRepeat=29811
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:22:18 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=88br8djd21b5g57e1bkie1nu2betpcbb; path=/
Set-Cookie: authchallenge=2facdfff61d1c1ac104fae715b1d1150; path=/
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------
https://www.testurl.de/listpruefungen.php?searchstr=


GET /listpruefungen.php?searchstr= HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php
Cookie: moveonline_cooperations=4304e99d60ba33d2caca5fcbe13f0490; PHPSESSID=a1823f4b50f1eedc364e0d5581eb5a65; PHPSESSID=88br8djd21b5g57e1bkie1nu2betpcbb; authchallenge=2facdfff61d1c1ac104fae715b1d1150


HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:22:20 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------

Alles anzeigen

2. Anmeldung am System ohne Rauswurf (nach Löschen von Cache und Cookies im Browser):

Code

https://www.testurl.de/secimage.php?sessionType=Student


GET /secimage.php?sessionType=Student HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/
Cookie: PHPSESSID=mprbd67rkbkutbfdamcrp0pfaddcr4an


HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:44:56 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1363
Keep-Alive: timeout=5, max=98
Connection: Keep-Alive
Content-Type: image/jpeg
----------------------------------------------------------
https://www.testurl.de/index.php


POST /index.php HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/
Cookie: PHPSESSID=mprbd67rkbkutbfdamcrp0pfaddcr4an
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
username=USER&password=PASSWORD&securityImage.x=0&securityImage.y=0&secImageRepeat=20440
HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:45:05 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=n2vffovvkq190sfn24mo6gdu59ccfkn4; path=/
Set-Cookie: authchallenge=a76b6d132882415dbde2ff450732bc4e; path=/
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------
https://www.testurl.de/listpruefungen.php?searchstr=


GET /listpruefungen.php?searchstr= HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/index.php
Cookie: PHPSESSID=n2vffovvkq190sfn24mo6gdu59ccfkn4; authchallenge=a76b6d132882415dbde2ff450732bc4e


HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:45:06 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
X-Powered-By: PHP/5.2.9-1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
----------------------------------------------------------
https://www.testurl.de/images/info.gif


GET /images/info.gif HTTP/1.1
Host: www.testurl.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://www.testurl.de/listpruefungen.php?searchstr=
Cookie: PHPSESSID=n2vffovvkq190sfn24mo6gdu59ccfkn4; authchallenge=a76b6d132882415dbde2ff450732bc4e


HTTP/1.x 200 OK
Date: Mon, 22 Jun 2009 16:45:07 GMT
Server: Apache/2.2.11 (Win32) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 SVN/1.6.2 PHP/5.2.9-1
Last-Modified: Mon, 08 Jun 2009 12:21:05 GMT
Etag: "8000000004525-58-46bd546b8dba1"
Accept-Ranges: bytes
Content-Length: 88
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: image/gif
----------------------------------------------------------

Alles anzeigen

.Ulli

Hallo ans2,

Willkommen im Forum

Zitat von ans2

Nachdem anfangs nach dem Löschen von Cache und Cookies im Browser wieder eine "normale" Anmeldung am System möglich war, gibt es nun einige Nutzer bei denen diese Strategie nicht mehr hilft.

Damit wurde nur ein Fehlverhalten des Servers kompensiert.

Das Ausloggen geschieht nicht im FF (CLient) sondern im Host (Server).

Analysiere die Logs des Servers, um dessen Fehler zu bereinigen.

ans2

Hallo,

erst einmal vielen Dank für deine Rückmeldung.

Zitat von .Ulli

Das Ausloggen geschieht nicht im FF (CLient) sondern im Host (Server).

Jein. Du hast natürlich Recht, dass der Firefox vom Server ausgeloggt wird. Allerdings liegt das daran, dass der Firefox die falsche Session-ID sendet. Ich gehe ziemlich stark davon aus, dass dies an der doppelten Session-ID liegt (siehe 1. Header-Log). Das Tückische an der Sache ist, dass sich der Fehler nur sehr schwer reproduzieren lässt. Mit frischem Cache und Cookies kann man an unserem System wieder ganz normal arbeiten. Sogar über mehrere Logins hinweg. Und irgendwann kommt es dann wieder zu den Rauswürfen. Was mich zu der Annahme führt, dass es sich prinzipiell nicht um ein Programmier-Problem im "klassischen" Sinne handelt, sondern vielmehr mit Timing oder ähnlichem zu tun hat.

Was mich interessieren würde ist, wie es dazu kommen kann, dass Firefox einem Cookie zwei Session-IDs zuordnet. Der Internet Explorer hat dieses Problem (momentan) jedenfalls nicht.

Grüße

boardraider

Quelle: ans2

Zitat von ans2

Allerdings liegt das daran, dass der Firefox die falsche Session-ID sendet.

Nicht die "falsche", sondern zwei - eine alte, abgelaufene und die aktuelle. Eure Webanwendung scheint aber nicht in der Lage zu sein, dies zu erkennen und den alten Wert zu verwerfen.

Zitat

Mit frischem Cache und Cookies kann man an unserem System wieder ganz normal arbeiten.

Logisch, da eben kein alter PHPSESSID-Cookie vorhanden ist.

Zitat

Was mich zu der Annahme führt, dass es sich prinzipiell nicht um ein Programmier-Problem im "klassischen" Sinne handelt, sondern vielmehr mit Timing oder ähnlichem zu tun hat.

Die Frage sollte zunächst sein, warum der Fx zwei solche Cookies speichert. Normalerweise ist der Name eindeutig, wenn es sich um die selbe Domain und den selben Pfad handelt. In dem Fall, wenn der Fx zwei PHPSESSID-Cookies gespeichert hat, prüfe für welche Domain und für welchen Pfad diese jeweils gespeichert sind. Das sollte dich zu dem Fehler in eurer Anwendung führen, diese wird an irgendeiner Stelle einen Cookie mit modifiziertem Trippel (Name, Domain, Pfad) setzen. Gleichzeit fängt eure Anwendung diesen Fall nicht ab, was aber nicht mehr nötig ist, wenn eure Anwendung für eindeutige Cookies sorgt.