]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - doc/bugs/openid_postsignin_failure.mdwn
Fix XSS in openid selector. Thanks, Raghav Bisht.
[git.ikiwiki.info.git] / doc / bugs / openid_postsignin_failure.mdwn
index 1c553692bd287f889746062192db03be35b3906e..01c3e5a6f82c9cad5123375d945cfd75827a168a 100644 (file)
@@ -22,7 +22,7 @@ Crypt::DH, URI-Fetch. --Ethan
 >> I put debugging output in openid.pm and it suggests that the 
 >> verification is taking place successfully. I see "openid.mode=id_res" 
 >> in the URI. On top of that, it's the same Openid server I use
 >> I put debugging output in openid.pm and it suggests that the 
 >> verification is taking place successfully. I see "openid.mode=id_res" 
 >> in the URI. On top of that, it's the same Openid server I use
->> to sign in here on ikiwiki.kitenet.net. --Ethan
+>> to sign in here on ikiwiki.info. --Ethan
 
 >>> Yikes, I don't really have the newest CGI::Session after all.. 
 >>> let me try updating that. --Ethan
 
 >>> Yikes, I don't really have the newest CGI::Session after all.. 
 >>> let me try updating that. --Ethan
@@ -32,3 +32,21 @@ Crypt::DH, URI-Fetch. --Ethan
 >>>>> No problem, the error message could certianly use improvement.
 >>>>> Although if I disable cookies, myopenid lets me know. Maybe you
 >>>>> should paste the url. --[[Joey]]
 >>>>> No problem, the error message could certianly use improvement.
 >>>>> Although if I disable cookies, myopenid lets me know. Maybe you
 >>>>> should paste the url. --[[Joey]]
+
+I have cookies disabled on my computer, with a bunch of manual
+exceptions. This includes myopenid, ikiwiki.info, livejournal,
+and some others. Unfortunately it didn't include my own domain.
+So the URI that myopenid redirected me to was fine, but because
+I didn't have cookies set, I didn't have a session, and so 
+session->param('postsignin') was undefined, so instead of being
+redirected my query fell through CGI.pm to the bottom of cgi(), 
+where I got the message above. In a perfect world I'd say that
+it would be nice to let the user know that they can't sign in
+w/o cookies, but I don't see any easy way of detecting that 
+from CGI::Session. Maybe you know a way -- I have never used 
+CGI.pm before, this isn't my forte (in case that  wasn't obvious).
+--Ethan
+
+> It's not easily possible to test for cookies, but it is possible to
+> display a better error message in this failure mode. [[bugs/done]]
+> --[[Joey]]