iwahei0813 > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/21 13:57
kenecyさん！こんにちわ！(´∀`) baserの3系の読み込み順は下記のURLにありますね！！ http://basercms.net/manuals/3/programmers/3.html 引用： /app/webroot/theme/{テーマ名}/View/Layouts/default.php　は /app/webroot/theme/{テーマ名}/Layouts/default.php の間違いなのではないかと思うのですが、こうした情報のフィードバックはどうしたらよろしいでしょうか？おそらくこの情報はあっていると思います＾０＾例えば、、 /lib/Baser/View/の中を見ていただくと、色々なファイルがあると思いますが、これらのファイルを変えたい場合は、/app/webroot/theme/{テーマ名}/View/にファイルを作成するようになると思います！＾＾ ※baserの更新による上書きを防ぐ為です！

iwahei0813 > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/21 13:57

kenecyさん！こんにちわ！(*´∀`*)

baserの3系の読み込み順は下記のURLにありますね！！
http://basercms.net/manuals/3/programmers/3.html

引用：

/app/webroot/theme/{テーマ名}/View/Layouts/default.php　は
/app/webroot/theme/{テーマ名}/Layouts/default.php の間違いなのではないかと思うのですが、
こうした情報のフィードバックはどうしたらよろしいでしょうか？

おそらくこの情報はあっていると思います＾０＾

例えば、、
/lib/Baser/View/の中を見ていただくと、色々なファイルがあると思いますが、
これらのファイルを変えたい場合は、/app/webroot/theme/{テーマ名}/View/にファイルを作成するようになると思います！＾＾
※baserの更新による上書きを防ぐ為です！

Antennix > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/17 14:52
>n1215様こんにちは。頂いた情報を元に対応し、こちらでも改善が確認できました。タイミングの悪いときに、この問題に取り掛かってしまったようですね・・情報を共有頂き、ありがとうございますｍｍ

n1215 > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/17 2:17
kenecy 様 Antennix 様こんばんは。先ほどから試してみて、原因の検討が付いたのでわかったところまで書いておきます。結論から述べると、CSRFトークンのバリデーションが原因です。 ●CSRF・CSRFトークン攻撃用の外部Webページから利用者の意図しないHTTPリクエストを送るCSRF（クロスサイトリクエストフォージェリ）攻撃への対策として、多くのWebアプリケーションフレームワークでCSRFトークンという乱数値（暗号論的擬似乱数値）を利用する仕組みが実装されています。サーバでHTMLを生成した際にトークン（乱数値）をformのhiddenパラメータ等として仕込んでおき、フォームデータの送信時にこのトークンをサーバ側で再び確認することで、不正なリクエストを防ぐというものです。 ●CakePHPの仕様 CakePHPではSecurityComponentがCSRFトークンの生成やバリデーションを司っており、デフォルトでは一度利用したトークンは再利用しない（= SecurityComponentのcsrfUseOnceプロパティがtrue）というセキュリティポリシーを採用しています。このため、同じページから同じトークンを利用して２度のAjaxリクエスト（baserCMSの現在の仕様ではログインはAjaxによるものなので）を行うと２度目はエラーとなります。ページをリロードしてCSRFトークンを更新すれば再び１度目は正常に処理されますね。 ※CSRFトークンの値はHTMLのソースを見ればformのhiddenパラメータ data[_Token][]で確認できます。 ●/admin/users/login　のページではエラーが起こらない理由 csrfでソースコードを検索してみたところ、どうやらbaserCMSの管理画面（正確にはログイン画面を含む/admin/以下？）ではCSRFのチェックを行っていないようです。 https://github.com/basercms/basercms/blob/dev-3/lib/Baser/Controller/BcAppController.php　の 413行目あたり `// TODO 管理画面は送信データチェックを行わない（全て対応させるのは大変なので暫定処置） if (!empty($this->request->params['admin'])) { $this->Security->validatePost = false; $this->Security->csrfCheck = false; }` 従って、この部分を何らかの方法で上書きし、/mypage/以下もCSRFのチェックを行わない、またはCSRFトークンを使いまわせる仕様にすれば（$this->Security->csrfUseOnce = false）同じように問題を解決できるはずです。 ※ifをコメントアウトしてズボラな確認をしてみたところOKでした。暫定処置とあるようにあまり褒められた対応ではありませんが、ご確認ください。なお、コア開発のチケットを見ると、管理画面のログインは近々Ajax方式から通常のPOSTに変更されるようです。 http://project.e-catchup.jp/issues/5512 通常のPOSTであればCSRFトークンの更新もPOSTの都度行われるため、この問題はなくなるはずですね。 Twitter:　@n_1215

n1215 > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/17 2:17

kenecy 様
Antennix 様

こんばんは。

先ほどから試してみて、原因の検討が付いたのでわかったところまで書いておきます。

結論から述べると、CSRFトークンのバリデーションが原因です。

●CSRF・CSRFトークン
攻撃用の外部Webページから利用者の意図しないHTTPリクエストを送るCSRF（クロスサイトリクエストフォージェリ）攻撃への対策として、
多くのWebアプリケーションフレームワークでCSRFトークンという乱数値（暗号論的擬似乱数値）を利用する仕組みが実装されています。
サーバでHTMLを生成した際にトークン（乱数値）をformのhiddenパラメータ等として仕込んでおき、
フォームデータの送信時にこのトークンをサーバ側で再び確認することで、不正なリクエストを防ぐというものです。

●CakePHPの仕様
CakePHPではSecurityComponentがCSRFトークンの生成やバリデーションを司っており、
デフォルトでは一度利用したトークンは再利用しない（= SecurityComponentのcsrfUseOnceプロパティがtrue）というセキュリティポリシーを採用しています。
このため、同じページから同じトークンを利用して２度のAjaxリクエスト（baserCMSの現在の仕様ではログインはAjaxによるものなので）を行うと２度目はエラーとなります。
ページをリロードしてCSRFトークンを更新すれば再び１度目は正常に処理されますね。
※CSRFトークンの値はHTMLのソースを見ればformのhiddenパラメータ data[_Token][]で確認できます。

●/admin/users/login　のページではエラーが起こらない理由
csrfでソースコードを検索してみたところ、どうやらbaserCMSの管理画面（正確にはログイン画面を含む/admin/以下？）
ではCSRFのチェックを行っていないようです。
https://github.com/basercms/basercms/blob/dev-3/lib/Baser/Controller/BcAppController.php　の 413行目あたり

		// TODO 管理画面は送信データチェックを行わない（全て対応させるのは大変なので暫定処置）
		if (!empty($this->request->params['admin'])) {
			$this->Security->validatePost = false;
			$this->Security->csrfCheck = false;
		}

従って、この部分を何らかの方法で上書きし、/mypage/以下もCSRFのチェックを行わない、
またはCSRFトークンを使いまわせる仕様にすれば（$this->Security->csrfUseOnce = false）
同じように問題を解決できるはずです。
※ifをコメントアウトしてズボラな確認をしてみたところOKでした。

暫定処置とあるようにあまり褒められた対応ではありませんが、ご確認ください。

なお、コア開発のチケットを見ると、管理画面のログインは近々Ajax方式から通常のPOSTに変更されるようです。
http://project.e-catchup.jp/issues/5512
通常のPOSTであればCSRFトークンの更新もPOSTの都度行われるため、この問題はなくなるはずですね。

Twitter:　@n_1215

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/11 18:34
Antennixさん。こんにちは。こちらの環境下でも同様のテストをしてみましたら、同じエラーが発生しました。エラーメッセージの下にStack Trace情報が表示されていましたので、記載しておきます。引用： Stack Trace CORE/Cake/Controller/Component/SecurityComponent.php line 242 → SecurityComponent->blackHole(MembersController, string) [internal function] → SecurityComponent->startup(MembersController) CORE/Cake/Utility/ObjectCollection.php line 132 → call_user_func_array(array, array) [internal function] → ObjectCollection->trigger(CakeEvent) CORE/Baser/Event/CakeEventManager.php line 247 → call_user_func(array, CakeEvent) CORE/Cake/Controller/Controller.php line 675 → CakeEventManager->dispatch(CakeEvent) CORE/Cake/Routing/Dispatcher.php line 182 → Controller->startupProcess() CORE/Cake/Routing/Dispatcher.php line 160 → Dispatcher->_invoke(MembersController, CakeRequest, CakeResponse) APP/webroot/index.php line 151 → Dispatcher->dispatch(CakeRequest, CakeResponse) ROOT/index.php line 51 → require(string) どなたか原因のわかる方はおられないでしょうか？よろしくお願い致します。 ■ BaserCMSのバージョン：3.0.2 ■ レンタルサーバー名：さくらインターネット ■ スマートURLの利用：OFF ■ 設置フォルダ：サブフォルダ ■ 利用しているデータベース：MySQL

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/11 18:34

Antennixさん。こんにちは。

こちらの環境下でも同様のテストをしてみましたら、同じエラーが発生しました。
エラーメッセージの下にStack Trace情報が表示されていましたので、記載しておきます。

引用：

Stack Trace
CORE/Cake/Controller/Component/SecurityComponent.php line 242 → SecurityComponent->blackHole(MembersController, string)
[internal function] → SecurityComponent->startup(MembersController)
CORE/Cake/Utility/ObjectCollection.php line 132 → call_user_func_array(array, array)
[internal function] → ObjectCollection->trigger(CakeEvent)
CORE/Baser/Event/CakeEventManager.php line 247 → call_user_func(array, CakeEvent)
CORE/Cake/Controller/Controller.php line 675 → CakeEventManager->dispatch(CakeEvent)
CORE/Cake/Routing/Dispatcher.php line 182 → Controller->startupProcess()
CORE/Cake/Routing/Dispatcher.php line 160 → Dispatcher->_invoke(MembersController, CakeRequest, CakeResponse)
APP/webroot/index.php line 151 → Dispatcher->dispatch(CakeRequest, CakeResponse)
ROOT/index.php line 51 → require(string)

どなたか原因のわかる方はおられないでしょうか？
よろしくお願い致します。

■ BaserCMSのバージョン：3.0.2
■ レンタルサーバー名：さくらインターネット
■ スマートURLの利用：OFF
■ 設置フォルダ：サブフォルダ
■ 利用しているデータベース：MySQL

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/11 18:22
iwahei0813さん。こんにちは。やはりそうでしたか。そのあたりが少し気になっていたのですが、「変更パスをテーマ側に設定、もしくは、app側に設定してあげる」方法がわからなかったので、直接書き換えてしまいました・・・。(^^; その後、マニュアルの中に「ファイル読み込みの優先順位」を見つけまして、 /lib/Baser/View/Membsers/mypage/配下全てを /app/View/Membsers/mypage/ にコピーして /lib/配下を変更前に戻して確認したらうまくいきました。その後、今度は/app/View/Membsers/mypage/配下を /app/webroot/theme/{テーマ名}/View/Membsers/mypage にムーブして確認してみると…、あれ？また(5)と同じエラーが発生してしまいました…。色々と確認してみたものの何故かわからず、ふとLayoutsフォルダが{テーマ名}直下にあることに気づき、試しに/app/webroot/theme/{テーマ名}/Membsers/mypage にムーブして確認してみたら、うまくいきました。この結果から、恐らく「ファイル読み込みの優先順位」内の「ビュー関連の読み込み優先順位例」の /app/webroot/theme/{テーマ名}/View/Layouts/default.php　は /app/webroot/theme/{テーマ名}/Layouts/default.php の間違いなのではないかと思うのですが、こうした情報のフィードバックはどうしたらよろしいでしょうか？ ■ BaserCMSのバージョン：3.0.2 ■ レンタルサーバー名：さくらインターネット ■ スマートURLの利用：OFF ■ 設置フォルダ：サブフォルダ ■ 利用しているデータベース：MySQL

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/11 18:22

iwahei0813さん。こんにちは。

やはりそうでしたか。
そのあたりが少し気になっていたのですが、「変更パスをテーマ側に設定、もしくは、app側に設定してあげる」方法が
わからなかったので、直接書き換えてしまいました・・・。(^^;

その後、マニュアルの中に「ファイル読み込みの優先順位」を見つけまして、
/lib/Baser/View/Membsers/mypage/配下全てを /app/View/Membsers/mypage/ にコピーして
/lib/配下を変更前に戻して確認したらうまくいきました。

その後、今度は/app/View/Membsers/mypage/配下を /app/webroot/theme/{テーマ名}/View/Membsers/mypage にムーブして
確認してみると…、あれ？また(5)と同じエラーが発生してしまいました…。

色々と確認してみたものの何故かわからず、ふとLayoutsフォルダが{テーマ名}直下にあることに気づき、
試しに/app/webroot/theme/{テーマ名}/Membsers/mypage にムーブして確認してみたら、うまくいきました。

この結果から、恐らく「ファイル読み込みの優先順位」内の「ビュー関連の読み込み優先順位例」の
/app/webroot/theme/{テーマ名}/View/Layouts/default.php　は
/app/webroot/theme/{テーマ名}/Layouts/default.php の間違いなのではないかと思うのですが、
こうした情報のフィードバックはどうしたらよろしいでしょうか？

Antennix > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/10 16:38
すみません、横から失礼します。同様の件で、数日試行錯誤しております。過去の資料を読み漁った上で、 kenecyさんが記載されている手法で正しいという認識になるのですが、 >(7)再度/mypage/members/login にアクセスすると、無事マイページログインが表示される。このログイン画面が表示された所で、2度、故意に認証に失敗すると、下記の様なエラーが発生しております。 **************** ログイン処理に失敗しました。システムエラーです。エラー: The requested address '/mypage/members/ajax_login' was not found on this server. **************** 同様の現象が出る方はいらっしゃらないでしょうか？ ■ BaserCMSのバージョン：（例）3.0.2 ■ レンタルサーバー名： AWS ■ スマートURLの利用：　[ON] ■ 設置フォルダ：　[ドキュメントルート] ■ 利用しているデータベース：　[MySQL] ■ PHPスキル（自己評価）：　[C] ■ OSの種類：Windows Server 2012(x64) ■ PHPのバージョン：PHP 5.4.19 ■ データベース種類・バージョン：MySQL 5.1

Antennix > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/10 16:38

すみません、横から失礼します。
同様の件で、数日試行錯誤しております。

過去の資料を読み漁った上で、
kenecyさんが記載されている手法で正しいという認識になるのですが、

>(7)再度/mypage/members/login にアクセスすると、無事マイページログインが表示される。

このログイン画面が表示された所で、2度、故意に認証に失敗すると、
下記の様なエラーが発生しております。
******************
ログイン処理に失敗しました。
システムエラーです。
エラー: The requested address '/mypage/members/ajax_login' was not found on this server.
******************
同様の現象が出る方はいらっしゃらないでしょうか？

■ BaserCMSのバージョン：（例）3.0.2
■ レンタルサーバー名： AWS
■ スマートURLの利用：　[ON]
■ 設置フォルダ：　[ドキュメントルート]
■ 利用しているデータベース：　[MySQL]
■ PHPスキル（自己評価）：　[C]

■ OSの種類：Windows Server 2012(x64)
■ PHPのバージョン：PHP 5.4.19
■ データベース種類・バージョン：MySQL 5.1

iwahei0813 > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/10 10:42
無事に解決できたみたいでよかったです！(๑˃̵ᴗ˂̵)و 一点気づいたところですが、（６）にある、/lib/Baser/View/Membsers/mypage/login.phpのパス書き換えでも問題ないと思います！が、安全な方法として、変更パスをテーマ側に設定、もしくは、app側に設定してあげると次のbaserCMSのバージョン更新による上書きも防ぐことができると思います！！

iwahei0813 > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/10 10:42

無事に解決できたみたいでよかったです！(๑˃̵ᴗ˂̵)و
一点気づいたところですが、
（６）にある、/lib/Baser/View/Membsers/mypage/login.phpのパス書き換えでも問題ないと思います！が、安全な方法として、変更パスをテーマ側に設定、もしくは、app側に設定してあげると次のbaserCMSのバージョン更新による上書きも防ぐことができると思います！！

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/9 18:11
goichiさん。またまた早速のアドバイスをありがとうございます。教えて頂いた情報から、過去の「会員制サイトの構築」の情報を読み替えて以下のように実行してみました。 (1)/lib/Baser/Config/setting.php をコピーして、/app/Config/setting.php として保存。 (2)コピーした setting.php の 129行目から137行目の'mypage'部分のコメントを外す。 (3)管理画面からマイページ用ユーザーグループを作成し、「認証プレフィックス」に「マイページ」を選択して保存。 (4)管理画面からマイページ用ユーザーを作成し、マイページ用ユーザーグループを選択して保存。 (5)/mypage/members/login にアクセスすると、　Warning (2): include(/*/lib/Baser/View/users/admin/login.php) [function.include]: failed to open stream: No such file or directory　[CORE/Baser/View/Members/mypage/login.php, line 21] 　Warning (2): include() [function.include]: Failed opening '/*/lib/Baser/View/users/admin/login.php' for inclusion (include_path='.:/usr/local/php/5.2.17/lib/php') [CORE/Baser/View/Members/mypage/login.php, line 21] 　というエラーメッセージが表示される。 (6)/lib/Baser/View/Membsers/mypage/login.php の21行目を　include BASER_VIEWS . 'users' . DS . 'admin' . DS . 'login.php'; 　から　include BASER_VIEWS . 'Users' . DS . 'admin' . DS . 'login.php'; 　に変更する。 (7)再度/mypage/members/login にアクセスすると、無事マイページログインが表示される。 (8)作成したマイページ用ユーザーでログインすると、/mypage/members/editが表示される。 (9)/mypage/members/logout でログアウトも可能。途中(5)のエラーで少し引っ掛かりましたが、それ以外はver3になってより簡単（ファイルが用意されている）になっていました。ちなみに(6)で/lib/配下のファイルは直接変更しましたが、これは別に問題ないでしょうか？というわけで、なんとか無事にユーザーログイン処理を行うことができるようになりました。ありがとうございました。 ■ BaserCMSのバージョン：3.0.2 ■ レンタルサーバー名：さくらインターネット ■ スマートURLの利用：OFF ■ 設置フォルダ：サブフォルダ ■ 利用しているデータベース：MySQL

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/9 18:11

goichiさん。またまた早速のアドバイスをありがとうございます。

教えて頂いた情報から、過去の「会員制サイトの構築」の情報を読み替えて以下のように実行してみました。

(1)/lib/Baser/Config/setting.php をコピーして、/app/Config/setting.php として保存。
(2)コピーした setting.php の 129行目から137行目の'mypage'部分のコメントを外す。
(3)管理画面からマイページ用ユーザーグループを作成し、「認証プレフィックス」に「マイページ」を選択して保存。
(4)管理画面からマイページ用ユーザーを作成し、マイページ用ユーザーグループを選択して保存。
(5)/mypage/members/login にアクセスすると、
　Warning (2): include(/***/lib/Baser/View/users/admin/login.php) [function.include]: failed to open stream: No such file or directory　[CORE/Baser/View/Members/mypage/login.php, line 21]
　Warning (2): include() [function.include]: Failed opening '/***/lib/Baser/View/users/admin/login.php' for inclusion (include_path='.:/usr/local/php/5.2.17/lib/php') [CORE/Baser/View/Members/mypage/login.php, line 21]
　というエラーメッセージが表示される。
(6)/lib/Baser/View/Membsers/mypage/login.php の21行目を
　include BASER_VIEWS . 'users' . DS . 'admin' . DS . 'login.php';
　から
　include BASER_VIEWS . 'Users' . DS . 'admin' . DS . 'login.php';
　に変更する。
(7)再度/mypage/members/login にアクセスすると、無事マイページログインが表示される。
(8)作成したマイページ用ユーザーでログインすると、/mypage/members/editが表示される。
(9)/mypage/members/logout でログアウトも可能。

途中(5)のエラーで少し引っ掛かりましたが、それ以外はver3になってより簡単（ファイルが用意されている）になっていました。
ちなみに(6)で/lib/配下のファイルは直接変更しましたが、これは別に問題ないでしょうか？

というわけで、なんとか無事にユーザーログイン処理を行うことができるようになりました。
ありがとうございました。

goichi > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/9 14:51
/lib/Baser/Config/setting.php 100行目付近にプレフィックス認証について書いてあります。ファイルやフォルダ構成は、前バージョンと異なる部分が出てきてしまいますが、プレフィックス認証の仕組みは同じように思います（本当にコアな部分はわかりませんが、使い方は一緒かなと。）。いろいろと他のファイルや似たような名前のもの、フォルダを見ながらやると良いかもしれません。

goichi > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/9 14:51

/lib/Baser/Config/setting.php 100行目付近にプレフィックス認証について書いてあります。
ファイルやフォルダ構成は、前バージョンと異なる部分が出てきてしまいますが、プレフィックス認証の仕組みは同じように思います（本当にコアな部分はわかりませんが、使い方は一緒かなと。）。いろいろと他のファイルや似たような名前のもの、フォルダを見ながらやると良いかもしれません。

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/9 14:23
すみません。早速試してみましたところ、いきなり詰まってしまいました…。(-_-;) まずは「マイページ用のログイン認証を簡単に作る方法」を見て順番に実行していこうと思ったのですが、「/baser/config/baser.php をコピーして・・・」と書いてあるのですが、 ”basercms-3.0.2.zip”を展開した中を全て検索しても”baser.php”が見つかりません。やはりメジャーバージョンが異なると、フォルダ構成やファイル名などが結構違うという事でしょうか…？恐れ入りますが、どなたかアドバイス頂けないでしょうか。よろしくお願い致します。 ■ BaserCMSのバージョン：3.0.2 ■ レンタルサーバー名：さくらインターネット ■ スマートURLの利用：OFF ■ 設置フォルダ：サブフォルダ ■ 利用しているデータベース：MySQL

kenecy > Re: baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？ @ 2014/4/9 14:23

すみません。
早速試してみましたところ、いきなり詰まってしまいました…。(-_-;)

まずは「マイページ用のログイン認証を簡単に作る方法」を見て
順番に実行していこうと思ったのですが、「/baser/config/baser.php をコピーして・・・」と書いてあるのですが、
”basercms-3.0.2.zip”を展開した中を全て検索しても”baser.php”が見つかりません。

やはりメジャーバージョンが異なると、フォルダ構成やファイル名などが結構違うという事でしょうか…？

恐れ入りますが、どなたかアドバイス頂けないでしょうか。
よろしくお願い致します。

1 | 2 | 次のページ>

スレッド表示 | 古いものから

前のトピック | 次のトピック | トップ

baserCMS3で、過去の「会員制サイトの構築」の情報はそのまま使えますか？

キーワード検索