http://redmine.openpne.jp/
http://redmine.openpne.jp/favicon.ico
2012-06-25T07:27:03Z
OpenPNE Issue Tracking System
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=15170
2012-06-25T07:27:03Z
Kiwa Sakai
kiwa@openpne.jp
<ul><li><strong>プロジェクト</strong> を <i>opDiaryPlugin</i> から <i>OpenPNE 3</i> に変更</li></ul><p>coreの問題だったのでチケットを移動します</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=15171
2012-06-25T07:29:51Z
Kiwa Sakai
kiwa@openpne.jp
<ul><li><strong>題名</strong> を <i>httpの日記ページに https のログイン画面を経由してアクセスしようとするとログインに失敗する</i> から <i>http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する</i> に変更</li><li><strong>説明</strong> を更新 (<a title="差分を表示" href="/journals/15171/diff?detail_id=19783">diff</a>)</li></ul>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=15246
2012-07-23T08:22:46Z
Yuma Sakata
sakata@tejimaya.com
<ul><li><strong>対象バージョン</strong> を <i>OpenPNE 3.8.x</i> にセット</li></ul>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=15314
2012-08-08T09:23:48Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>対象バージョン</strong> を <i>OpenPNE 3.8.x</i> から <i>OpenPNE 3.9.0-old</i> に変更</li></ul>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=15315
2012-08-08T09:24:44Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>New(新規)</i> から <i>Accepted(着手)</i> に変更</li><li><strong>担当者</strong> を <i>Yuya Watanabe</i> にセット</li></ul>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16212
2013-01-09T12:37:13Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>3.8 で発生するか</strong> を <i>Unknown (未調査)</i> にセット</li></ul><a name="修正方針"></a>
<h3 >修正方針<a href="#修正方針" class="wiki-anchor">¶</a></h3>
<p>ログインアクションが SSL を用いる必要があり,ログインアクションに到達したときに SSL を用いていない場合(ログインアクションに forward した場合が該当)にログインアクションへリダイレクトする処理を追加する.</p>
<p>このとき、リダイレクトする前の URL をログイン後の遷移先に指定するために URL のパラメータに next_uri を指定できるようにする.</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16213
2013-01-09T12:37:34Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>3.6 で発生するか</strong> を <i>Unknown (未調査)</i> から <i>Yes (はい)</i> に変更</li><li><strong>3.8 で発生するか</strong> を <i>Unknown (未調査)</i> から <i>Yes (はい)</i> に変更</li></ul>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16214
2013-01-09T12:37:43Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>Accepted(着手)</i> から <i>Pending Review(レビュー待ち)</i> に変更</li><li><strong>進捗率</strong> を <i>0</i> から <i>50</i> に変更</li></ul><p>更新履歴 <a class="changeset" title="Merge branch 't3073' (fixes #3073)" href="http://redmine.openpne.jp/projects/op3/repository/revisions/aacea12b69f661f784731521f4b2e56998ec8c1d">aacea12b69f661f784731521f4b2e56998ec8c1d</a> で適用されました。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16217
2013-01-10T02:07:30Z
Rimpei Ogawa
ogawa@tejimaya.com
<ul><li><strong>ステータス</strong> を <i>Pending Review(レビュー待ち)</i> から <i>Rejected(差し戻し)</i> に変更</li></ul><p>opMemberAction の <code>$loginUrl = $this->generateUrl('login', array(), true);</code> は、現在のリクエストが https でない場合には、 <a class="external" href="http://〜">http://〜</a> のURLを生成してしまいます。</p>
<p>リダイレクト後に <a class="external" href="http:// へリクエストするとさらにリダイレクトとなるため、リダイレクトループとなっているようです">http:// へリクエストするとさらにリダイレクトとなるため、リダイレクトループとなっているようです</a>。</p>
<p>単純に absolute=true で URL を生成することができないので、opExecutionFilter::handleSsl() のように sfConfig::get('op_ssl_base_url') を利用するコードにする必要がありそうです。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16219
2013-01-10T02:14:56Z
Mutsumi Imamura
imamura@openpne.jp
<ul></ul><p>note-9 について、再現手順を補足します。</p>
<p>1. OpenPNE.yml にて use_ssl:false であることを確認(初期設定)する。<br />2. <a class="external" href="http://hogehoge.com/member/login">http://hogehoge.com/member/login</a> にアクセスする<br />3. 下記のエラーメッセージが表示される(google chromeの場合)</p>
<pre>
このウェブページにはリダイレクト ループが含まれています
http://hogehoge.com/member/login?next_uri=member%2Flogin%3Fnext_uri%3Dmember%252Flogin%253Fnext_uri%253Dmember%25252Flogin%25253Fnext_uri%25253Dmember%2525252Flogin%2525253Fnext_uri%2525253Dmember%252525252Flogin%252525253Fnext_uri%252525253Dmember%25252525252Flogin%25252525253Fnext_uri%25252525253Dmember%2525252525252Flogin%2525252525253Fnext_uri%2525252525253Dmember%252525252525252Flogin%252525252525253Fnext_uri%252525252525253Dmember%25252525252525252Flogin%25252525252525253Fnext_uri%25252525252525253Dmember%2525252525252525252Flogin%2525252525252525253Fnext_uri%2525252525252525253Dmember%252525252525252525252Flogin%252525252525252525253Fnext_uri%252525252525252525253Dmember%25252525252525252525252Flogin%25252525252525252525253Fnext_uri%25252525252525252525253Dmember%2525252525252525252525252Flogin%2525252525252525252525253Fnext_uri%2525252525252525252525253Dmember%252525252525252525252525252Flogin%252525252525252525252525253Fnext_uri%252525252525252525252525253Dmember%25252525252525252525252525252Flogin%25252525252525252525252525253Fnext_uri%25252525252525252525252525253Dmember%2525252525252525252525252525252Flogin%2525252525252525252525252525253Fnext_uri%2525252525252525252525252525253Dmember%252525252525252525252525252525252Flogin%252525252525252525252525252525253Fnext_uri%252525252525252525252525252525253Dmember%25252525252525252525252525252525252Flogin%25252525252525252525252525252525253Fnext_uri%25252525252525252525252525252525253Dmember%2525252525252525252525252525252525252Flogin%2525252525252525252525252525252525253Fnext_uri%2525252525252525252525252525252525253Dmember%252525252525252525252525252525252525252Flogin のウェブページは リダイレクトの回数が多すぎます。このサイトの Cookie を削除するか、サードパーティの Cookie を許可すると問題が解決することがあります。 引き続き問題が解決しない場合は、ご使用のコンピュータではなく、サーバー側の設定上の問題である 可能性があります。
</pre>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16220
2013-01-10T02:26:43Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>Rejected(差し戻し)</i> から <i>Accepted(着手)</i> に変更</li><li><strong>進捗率</strong> を <i>50</i> から <i>0</i> に変更</li></ul>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16221
2013-01-10T02:48:19Z
Yuya Watanabe
watanabe@openpne.jp
<ul></ul><a name="note-10-の原因"></a>
<h3 >note-10 の原因<a href="#note-10-の原因" class="wiki-anchor">¶</a></h3>
<p>opExecuteFilter#handleSsl() のように,requiredAction のリストに入っているかどうかのチェックを行う際に use_ssl の値を見ていなかったため, ssl へのリダイレクトが不必要な場合でもリダイレクトを発生させていたため.</p>
<a name="修正内容"></a>
<h3 >修正内容<a href="#修正内容" class="wiki-anchor">¶</a></h3>
<p>opExecuteFilter#handleSsl() の様に use_ssl の値をチェックした上で note-6 の動作を行うようにする.</p>
<a name="その他"></a>
<h3 >その他<a href="#その他" class="wiki-anchor">¶</a></h3>
<p>note-9 と note-10 の内容はおそらく別問題のため, note-9 の懸念が払拭されていないようなのでステータスは変更していない.</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16222
2013-01-10T03:20:29Z
Rimpei Ogawa
ogawa@tejimaya.com
<ul></ul><p>note-9 についてですが、リダイレクトループするというのは嘘でした。</p>
<pre>
http://example.com/hoge/fuga
→ http://example.com/member/login?next_uri=hoge%2Ffuga
→ https://example.com/member/login?next_uri=hoge%2Ffuga
</pre>
<p>のようにリダイレクトし、動作はしているようです。ただ、直接 https の URL へリダイレクトすれば、リダイレクト回数が1回分減らせるので、やはり note-9 に書いた通り op_ssl_base_url を利用したコードに修正したほうがよいと思います。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16223
2013-01-10T04:25:40Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>Accepted(着手)</i> から <i>Pending Review(レビュー待ち)</i> に変更</li><li><strong>進捗率</strong> を <i>0</i> から <i>50</i> に変更</li></ul><p>更新履歴 <a class="changeset" title="(fixes #3073) fixed to make login url using ssl_base_url setting for not to redirect twice" href="http://redmine.openpne.jp/projects/op3/repository/revisions/a037339495d50ba8c6de6b4aefc77018cab418d5">a037339495d50ba8c6de6b4aefc77018cab418d5</a> で適用されました。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16225
2013-01-10T04:52:47Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>Pending Review(レビュー待ち)</i> から <i>Accepted(着手)</i> に変更</li><li><strong>進捗率</strong> を <i>50</i> から <i>0</i> に変更</li></ul><p>パス付き (例: <a class="external" href="http://example.com/sns">http://example.com/sns</a> のような形)の場合にうまくいかないようなので再度修正します.</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16229
2013-01-10T06:51:53Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>Accepted(着手)</i> から <i>Pending Review(レビュー待ち)</i> に変更</li><li><strong>進捗率</strong> を <i>0</i> から <i>50</i> に変更</li></ul><p>更新履歴 <a class="changeset" title="(fixes #3073) fixed to redirect considering include path" href="http://redmine.openpne.jp/projects/op3/repository/revisions/9994d6dbb4f0695af85c6af25cfea059690a42af">9994d6dbb4f0695af85c6af25cfea059690a42af</a> で適用されました。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16230
2013-01-10T06:52:47Z
Yuya Watanabe
watanabe@openpne.jp
<ul></ul><p>リダイレクト処理が大きくなりすぎたため,プライペートメソッドに切り出しました.</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16232
2013-01-10T08:04:08Z
Rimpei Ogawa
ogawa@tejimaya.com
<ul><li><strong>ステータス</strong> を <i>Pending Review(レビュー待ち)</i> から <i>Rejected(差し戻し)</i> に変更</li></ul><p>GETリクエストから取得した next_uri から URL が生成できなかった場合、ログイン直後に 500 エラーとなってしまいます。ただし、next_uri の値は OpenPNE へアクセスする URL の形式(以下で「外部URL形式」と言っているもの)として正しい形式の場合のみエラーとなります。<br />例えば、 /member/login?next_uri=hogefuga のような URL へアクセスすると再現できます。</p>
<pre>
現在、サーバが混み合っているか、メンテナンス中です。
ご迷惑をおかけいたしますが、しばらく時間を空けて再度アクセスしてください。
</pre>
<p>dev 環境の場合、<br /><pre>
500 | Internal Server Error | sfConfigurationException
The route "hogefuga" does not exist.
</pre></p>
<p>500 エラーの画面はユーザーが正しい画面へ戻るためのリンクがないため、この挙動では不便です。以下のいずれかに修正すべきだと思います。</p>
<ol>
<li>next_uri が正しくない場合、next_uri が空の場合と同じ挙動にする</li>
<li>next_uri が正しくない場合、404 のエラー画面を表示する</li>
</ol>
<p>opValidatorNextUri を見ると、findRoute() が失敗する(このチェックは妥当ではない→後述)不正な next_uri に対しては empty_value を返すよう実装されていることから、前者の「next_uri が空の場合と同じ挙動にする」を採用するのが自然だと思います。</p>
<p>この問題は opValidatorNextUri が findRoute() で <strong>外部URL形式</strong> からルートを探している一方で、sfAction::redirect() から呼ばれる sfWebController::genUrl() では <strong>内部URL形式</strong> で next_uri の値を扱っていることにより発生しています。</p>
<p>例えば、next_uri=hogefuga は opValidatorNextUri 内の findRoute() 時点で以下のルーティングルールとマッチするために、バリデーションをパスしています。</p>
<pre>
array(3) {
["name"]=>
string(13) "default_index"
["pattern"]=>
string(8) "/:module"
["parameters"]=>
array(3) {
["module"]=>
string(8) "hogefuga"
["action"]=>
string(5) "index"
["sf_culture"]=>
string(5) "ja_JP"
}
}
</pre>
<p>一方、sfWebController::genUrl() は hogefuga を module_name ではなく route_name と扱ってしまうため、例外が発生します。</p>
<p>現行の実装では next_uri へ渡す値は symfony の内部URL形式を意図しているため、 opValidatorNextUri も内部URL形式として正しいかどうかを判別するように修正すべきです。もしくは next_uri の値を外部URL形式へ変更する修正方法でもよいと思います。</p>
<p>なお、このコメントで指摘した問題はこのチケットの変更で GET パラメーターを受けつけることにより発生しやすくなったとはいえ、根本的には別問題であるので別チケット対応でもよいかもしれません。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16234
2013-01-10T09:05:45Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>Rejected(差し戻し)</i> から <i>Accepted(着手)</i> に変更</li><li><strong>進捗率</strong> を <i>50</i> から <i>0</i> に変更</li></ul>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16235
2013-01-10T09:05:55Z
Yuya Watanabe
watanabe@openpne.jp
<ul><li><strong>ステータス</strong> を <i>Accepted(着手)</i> から <i>Pending Review(レビュー待ち)</i> に変更</li><li><strong>進捗率</strong> を <i>0</i> から <i>50</i> に変更</li></ul><blockquote>
<p>なお、このコメントで指摘した問題はこのチケットの変更で GET パラメーターを受けつけることにより発生しやすくなったとはいえ、根本的には別問題であるので別チケット対応でもよいかもしれません。</p>
</blockquote>
<p>note-18 の最後のとおり、問題としては別だと思うので別チケットで扱うことが妥当だと思います.<br />とりあえず本チケット自体は note-18 の問題については取り扱わないという方針でいきたいと思います.</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16236
2013-01-10T09:13:14Z
Rimpei Ogawa
ogawa@tejimaya.com
<ul><li><strong>ステータス</strong> を <i>Pending Review(レビュー待ち)</i> から <i>Pending Testing(テスト待ち)</i> に変更</li><li><strong>進捗率</strong> を <i>50</i> から <i>70</i> に変更</li></ul><p>note-18 の問題を取り扱わないということであれば、レビューOKです。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=16252
2013-01-15T04:27:23Z
Rimpei Ogawa
ogawa@tejimaya.com
<ul></ul><p>note-18 の問題について、 <a class="issue tracker-1 status-1 priority-4 priority-default" title="Bug(バグ): ログインフォームの next_uri に特定の値を渡した場合に500エラーとなる (New(新規))" href="http://redmine.openpne.jp/issues/3295">#3295</a> で別チケットを作成しました。</p>
OpenPNE 3 - Bug(バグ) #3073: http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
http://redmine.openpne.jp/issues/3073?journal_id=22276
2017-04-03T08:50:08Z
isao sano
sano@tejimaya.com
<ul><li><strong>ステータス</strong> を <i>Pending Testing(テスト待ち)</i> から <i>Won't fix(対応せず)</i> に変更</li><li><strong>進捗率</strong> を <i>70</i> から <i>0</i> に変更</li></ul><p>OpenPNE 3.8.4 にて対応済みであったため、対応せずとします。</p>