
<html><head></head><body>You will need to be aware though that reduces your users protection from session hijacking tremendously. We really need to make fixing it a priority, without reducing security.<br>

<br>

Chris<br><br><div class="gmail_quote">On 31 August 2016 6:40:39 AM NZST, Tomas Cohen Arazi <tomascohen@gmail.com> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div dir="ltr">Magnus, there's been a lot of movement on the caching layer, and some of that work has been backported to the stable releases. Also, the RestrictSessionByIP setting was getting in the middle (<a href="https://bugs.koha-community.org/bugzilla3/show_bug.cgi?id=17050">https://bugs.koha-community.org/bugzilla3/show_bug.cgi?id=17050</a>).<div><br /></div><div>There's also a problem with memcached initialization in C4::Context that makes sessionStorage=memcache fail to persist sessions.</div><div><br /></div><div>My suggestion would be to set sessionStorage to 'mysql' and disable the RestricSessionByIP syspref.</div><div><br /></div><div>Regards</div><div><br /></div><div><br /></div></div><br /><div class="gmail_quote"><div dir="ltr">El mar., 30 ago. 2016 a las 8:24, Magnus Enger (<<a href="mailto:magnus@enger.priv.no">magnus@enger.priv.no</a>>) escribió:<br /></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc

solid;padding-left:1ex">Dear Community,<br />

<br />

I am seeing a strange problem, and I'm not sure where to start digging.<br />

<br />

I have a (big) server with 30 odd Koha instances. One of these<br />

instances has been running under Plack for quite some time now,<br />

without any problems.<br />

<br />

Two new instances have a problem where librarians get kicked out of<br />

the intranet more or less frequently, with a message like "Your<br />

session has expired, please log in again".<br />

<br />

We had this problem on 3.22.x.<br />

After upgrading to 16.05.02 it went away.<br />

After upgrading to 16.05.03 last night it came back again.<br />

<br />

It is not consistent. Earlier today it looked like you could log in,<br />

click on a link, get thrown out, login again and then things would<br />

work. Later users got kicked out every single time they clicked on a<br />

link in the intranet.<br />

<br />

All sites are running off the official Debian packages, on the same server.<br />

Memcached is installed, enabled and used for storing sessions.<br />

Switching SessionStorage to the DB does not stop the problem.<br />

Stopping and disabling Plack for these two instances makes the problem go away.<br />

<br />

I have not found anything interesting in Plack or Apache logs.<br />

<br />

Anyone got a hunch what might be causing this? Or where to start digging?<br />

<br />

Best regards,<br />

Magnus<br />

_______________________________________________<br />

Koha-devel mailing list<br />

<a href="mailto:Koha-devel@lists.koha-community.org" target="_blank">Koha-devel@lists.koha-community.org</a><br />

<a href="http://lists.koha-community.org/cgi-bin/mailman/listinfo/koha-devel" rel="noreferrer" target="_blank">http://lists.koha-community.org/cgi-bin/mailman/listinfo/koha-devel</a><br />

website : <a href="http://www.koha-community.org/" rel="noreferrer" target="_blank">http://www.koha-community.org/</a><br />

git : <a href="http://git.koha-community.org/" rel="noreferrer" target="_blank">http://git.koha-community.org/</a><br />

bugs : <a href="http://bugs.koha-community.org/" rel="noreferrer" target="_blank">http://bugs.koha-community.org/</a><br />

</blockquote></div><div dir="ltr">-- <br /></div><div data-smartmail="gmail_signature"><div dir="ltr"><div style="color:rgb(117,117,117);font-family:'helvetica neue',helvetica,arial,sans-serif;font-size:12.8px">Tomás Cohen Arazi</div><div style="color:rgb(117,117,117);font-family:'helvetica neue',helvetica,arial,sans-serif;font-size:12.8px">Theke Solutions (<a href="http://theke.io/">https://theke.io</a>)<br />✆ +54 9351 3513384<br />GPG: B2F3C15F</div></div></div>

<p style="margin-top: 2.5em; margin-bottom: 1em; border-bottom: 1px solid #000"></p><pre class="k9mail"><hr /><br />Koha-devel mailing list<br />Koha-devel@lists.koha-community.org<br /><a href="http://lists.koha-community.org/cgi-bin/mailman/listinfo/koha-devel">http://lists.koha-community.org/cgi-bin/mailman/listinfo/koha-devel</a><br />website : <a href="http://www.koha-community.org">http://www.koha-community.org</a>/<br />git : <a href="http://git.koha-community.org">http://git.koha-community.org</a>/<br />bugs : <a href="http://bugs.koha-community.org/">http://bugs.koha-community.org/</a></pre></blockquote></div><br>

-- <br>

Sent from my Android device with K-9 Mail. Please excuse my brevity.</body></html>