New session authentication, should fix bugs #1483951 and #1484299; testing ...

thomascube

2007-03-27 aad6e2a9c4857715c8bd56693d21b87dd0c16263

 program/include/main.inc

@@ -33,7 +33,7 @@
// register session and connect to server
function rcmail_startup($task='mail')
  {
  global $sess_id, $sess_auth, $sess_user_lang;
  global $sess_id, $sess_user_lang;
  global $CONFIG, $INSTALL_PATH, $BROWSER, $OUTPUT, $_SESSION, $IMAP, $DB, $JS_OBJECT_NAME;

  // check client
@@ -53,9 +53,8 @@
  $DB->sqlite_initials = $INSTALL_PATH.'SQL/sqlite.initial.sql';
  $DB->db_connect('w');

  // we can use the database for storing session data
  if (!$DB->is_error())
    include_once('include/session.inc');
  // use database for storing session data
  include_once('include/session.inc');

  // init session
  session_start();
@@ -65,8 +64,8 @@
  if (!isset($_SESSION['auth_time']))
    {
    $_SESSION['user_lang'] = rcube_language_prop($CONFIG['locale_string']);
    $_SESSION['auth_time'] = mktime();
    setcookie('sessauth', rcmail_auth_hash($sess_id, $_SESSION['auth_time']));
    $_SESSION['auth_time'] = time();
    $_SESSION['temp'] = true;
    }

  // set session vars global
@@ -178,24 +177,29 @@
// compare the auth hash sent by the client with the local session credentials
function rcmail_authenticate_session()
  {
  $now = mktime();
  $valid = ($_COOKIE['sessauth'] == rcmail_auth_hash(session_id(), $_SESSION['auth_time']) ||
                  $_COOKIE['sessauth'] == rcmail_auth_hash(session_id(), $_SESSION['last_auth']));
  global $CONFIG, $SESS_CLIENT_IP, $SESS_CHANGED;
  
  // advanced session authentication
  if ($CONFIG['double_auth'])
  {
    $now = time();
    $valid = ($_COOKIE['sessauth'] == rcmail_auth_hash(session_id(), $_SESSION['auth_time']) ||
              $_COOKIE['sessauth'] == rcmail_auth_hash(session_id(), $_SESSION['last_auth']));

  // renew auth cookie every 5 minutes (only for GET requests)
  if (!$valid || ($_SERVER['REQUEST_METHOD']!='POST' && $now-$_SESSION['auth_time'] > 300))
    // renew auth cookie every 5 minutes (only for GET requests)
    if (!$valid || ($_SERVER['REQUEST_METHOD']!='POST' && $now-$_SESSION['auth_time'] > 300))
    {
    $_SESSION['last_auth'] = $_SESSION['auth_time'];
    $_SESSION['auth_time'] = $now;
    setcookie('sessauth', rcmail_auth_hash(session_id(), $now));
      $_SESSION['last_auth'] = $_SESSION['auth_time'];
      $_SESSION['auth_time'] = $now;
      setcookie('sessauth', rcmail_auth_hash(session_id(), $now));
    }

  if (!$valid)
    write_log('timeouts',
      "REQUEST: " . var_export($_REQUEST, true) .
      "\nEXPECTED: " . rcmail_auth_hash(session_id(), $_SESSION['auth_time']) .
      "\nOR LAST: " . rcmail_auth_hash(session_id(), $_SESSION['last_auth']) .
      "\nSESSION: " . var_export($_SESSION, true));
  }
  else
    $valid = $CONFIG['ip_check'] ? $_SERVER['REMOTE_ADDR'] == $SESS_CLIENT_IP : true;
  
  // check session filetime
  if (!empty($CONFIG['session_lifetime']) && isset($SESS_CHANGED) && $SESS_CHANGED + $CONFIG['session_lifetime']*60 < time())
    $valid = false;

  return $valid;
  }
@@ -282,8 +286,8 @@
    rcmail_save_user_prefs($a_user_prefs);
    }

  $_SESSION = array();
  session_destroy();
  $_SESSION = array('user_lang' => $GLOBALS['sess_user_lang'], 'auth_time' => time(), 'temp' => true);
  setcookie('sessauth', '-del-', time()-60);
  }


@@ -400,7 +404,7 @@
// set localization charset based on the given language
function rcmail_set_locale($lang)
  {
  global $OUTPUT, $MBSTRING;
  global $OUTPUT, $CHARSET, $MBSTRING;
  static $s_mbstring_loaded = NULL;
  
  // settings for mbstring module (by Tadashi Jokagi)
@@ -408,8 +412,39 @@
    $MBSTRING = $s_mbstring_loaded = extension_loaded("mbstring");
  else
    $MBSTRING = $s_mbstring_loaded = FALSE;
    
  if ($MBSTRING)
    mb_internal_encoding($CHARSET);

  $OUTPUT->set_charset(rcube_language_prop($lang, 'charset'));
  }


// auto-select IMAP host based on the posted login information
function rcmail_autoselect_host()
  {
  global $CONFIG;
  
  $host = isset($_POST['_host']) ? get_input_value('_host', RCUBE_INPUT_POST) : $CONFIG['default_host'];
  if (is_array($host))
    {
    list($user, $domain) = explode('@', get_input_value('_user', RCUBE_INPUT_POST));
    if (!empty($domain))
      {
      foreach ($host as $imap_host => $mail_domains)
        if (is_array($mail_domains) && in_array($domain, $mail_domains))
          {
          $host = $imap_host;
          break;
          }
      }

    // take the first entry if $host is still an array
    if (is_array($host))
      $host = array_shift($host);
    }
  
  return $host;
  }


@@ -421,6 +456,26 @@
  
  if (!$host)
    $host = $CONFIG['default_host'];

  // Validate that selected host is in the list of configured hosts
  if (is_array($CONFIG['default_host']))
    {
    $allowed = FALSE;
    foreach ($CONFIG['default_host'] as $key => $host_allowed)
      {
      if (!is_numeric($key))
        $host_allowed = $key;
      if ($host == $host_allowed)
        {
        $allowed = TRUE;
        break;
        }
      }
    if (!$allowed)
      return FALSE;
    }
  else if (!empty($CONFIG['default_host']) && $host != $CONFIG['default_host'])
    return FALSE;

  // parse $host URL
  $a_host = parse_url($host);
@@ -508,6 +563,7 @@
    $_SESSION['username']  = $user;
    $_SESSION['user_lang'] = $sess_user_lang;
    $_SESSION['password']  = encrypt_passwd($pass);
    $_SESSION['login_time'] = mktime();

    // force reloading complete list of subscribed mailboxes
    rcmail_set_imap_prop();
@@ -535,10 +591,10 @@
  $DB->query("INSERT INTO ".get_table_name('users')."
              (created, last_login, username, mail_host, alias, language)
              VALUES (".$DB->now().", ".$DB->now().", ?, ?, ?, ?)",
              $user,
              $host,
              $user_email,
            $_SESSION['user_lang']);
              strip_newlines($user),
              strip_newlines($host),
              strip_newlines($user_email),
              $_SESSION['user_lang']);

  if ($user_id = $DB->insert_id(get_sequence_name('users')))
    {
@@ -550,7 +606,7 @@
    $user_name = $user!=$user_email ? $user : '';

    // try to resolve the e-mail address from the virtuser table
   if (!empty($CONFIG['virtuser_query']) &&
    if (!empty($CONFIG['virtuser_query']) &&
        ($sql_result = $DB->query(preg_replace('/%u/', $user, $CONFIG['virtuser_query']))) &&
        ($DB->num_rows()>0))
      while ($sql_arr = $DB->fetch_array($sql_result))
@@ -559,7 +615,7 @@
                   (user_id, del, standard, name, email)
                   VALUES (?, 0, 1, ?, ?)",
                   $user_id,
                   $user_name,
                   strip_newlines($user_name),
                   preg_replace('/^@/', $user . '@', $sql_arr[0]));
        }
    else
@@ -569,8 +625,8 @@
                  (user_id, del, standard, name, email)
                  VALUES (?, 0, 1, ?, ?)",
                  $user_id,
                  $user_name,
                  $user_email);
                  strip_newlines($user_name),
                  strip_newlines($user_email));
      }
                       
    // get existing mailboxes
@@ -706,7 +762,7 @@
  
  $framed = $GLOBALS['_framed'];
  $command = sprintf("display_message('%s', '%s');",
                     rep_specialchars_output(rcube_label(array('name' => $message, 'vars' => $vars)), 'js'),
                     JQ(rcube_label(array('name' => $message, 'vars' => $vars))),
                     $type);
                     
  if ($REMOTE_REQUEST)
@@ -826,7 +882,7 @@
    $OUTPUT->add_script(sprintf("%s.add_label('%s', '%s');",
                                $JS_OBJECT_NAME,
                                $name,
                                rep_specialchars_output(rcube_label($name), 'js')));  
                                JQ(rcube_label($name))));
  }


@@ -869,8 +925,15 @@
  }


// convert a string from one charset to another
// this function is not complete and not tested well
/**
 * Convert a string from one charset to another.
 * Uses mbstring and iconv functions if possible
 *
 * @param  string Input string
 * @param  string Suspected charset of the input string
 * @param  string Target charset to convert to; defaults to $GLOBALS['CHARSET']
 * @return Converted string
 */
function rcube_charset_convert($str, $from, $to=NULL)
  {
  global $MBSTRING;
@@ -925,12 +988,19 @@
  }



// replace specials characters to a specific encoding type
/**
 * Replacing specials characters to a specific encoding type
 *
 * @param  string  Input string
 * @param  string  Encoding type: text|html|xml|js|url
 * @param  string  Replace mode for tags: show|replace|remove
 * @param  boolean Convert newlines
 * @return The quoted string
 */
function rep_specialchars_output($str, $enctype='', $mode='', $newlines=TRUE)
  {
  global $OUTPUT_TYPE, $OUTPUT;
  static $html_encode_arr, $js_rep_table, $rtf_rep_table, $xml_rep_table;
  static $html_encode_arr, $js_rep_table, $xml_rep_table;

  if (!$enctype)
    $enctype = $GLOBALS['OUTPUT_TYPE'];
@@ -967,37 +1037,33 @@
      $str = strip_tags($str);
    
    // avoid douple quotation of &
    $out = preg_replace('/&amp;([a-z]{2,5});/', '&\\1;', strtr($str, $encode_arr));
    $out = preg_replace('/&amp;([a-z]{2,5}|#[0-9]{2,4});/', '&\\1;', strtr($str, $encode_arr));
      
    return $newlines ? nl2br($out) : $out;
    }


  if ($enctype=='url')
    return rawurlencode($str);


  // if the replace tables for RTF, XML and JS are not yet defined
  // if the replace tables for XML and JS are not yet defined
  if (!$js_rep_table)
    {
    $js_rep_table = $rtf_rep_table = $xml_rep_table = array();
    $js_rep_table = $xml_rep_table = array();
    $xml_rep_table['&'] = '&amp;';

    for ($c=160; $c<256; $c++)  // can be increased to support more charsets
      {
      $hex = dechex($c);
      $rtf_rep_table[Chr($c)] = "\\'$hex";
      $xml_rep_table[Chr($c)] = "&#$c;";
      
      if ($OUTPUT->get_charset()=='ISO-8859-1')
        $js_rep_table[Chr($c)] = sprintf("\u%s%s", str_repeat('0', 4-strlen($hex)), $hex);
      }

    $js_rep_table['"'] = sprintf("\u%s%s", str_repeat('0', 4-strlen(dechex(34))), dechex(34));
    $xml_rep_table['"'] = '&quot;';
    }

  // encode for RTF
  // encode for XML
  if ($enctype=='xml')
    return strtr($str, $xml_rep_table);

@@ -1010,12 +1076,26 @@
    return addslashes(preg_replace(array("/\r\n/", "/\r/"), array('\n', '\n'), strtr($str, $js_rep_table)));
    }

  // encode for RTF
  if ($enctype=='rtf')
    return preg_replace("/\r\n/", "\par ", strtr($str, $rtf_rep_table));

  // no encoding given -> return original string
  return $str;
  }

/**
 * Quote a given string. Alias function for rep_specialchars_output
 * @see rep_specialchars_output
 */
function Q($str, $mode='strict', $newlines=TRUE)
  {
  return rep_specialchars_output($str, 'html', $mode, $newlines);
  }

/**
 * Quote a given string. Alias function for rep_specialchars_output
 * @see rep_specialchars_output
 */
function JQ($str)
  {
  return rep_specialchars_output($str, 'js');
  }


@@ -1071,6 +1151,14 @@
  return preg_replace('/[\'"]/', '', $str);
}

/**
 * Remove new lines characters from given string
 */
function strip_newlines($str)
{
  return preg_replace('/[\r\n]/', '', $str);
}


// ************** template parsing and gui functions **************

@@ -1114,8 +1202,12 @@


  // parse for specialtags
  $output = parse_rcube_xml($templ);
  $output = parse_rcube_xml(parse_rcube_conditions($templ));
  
  // add debug console
  if ($CONFIG['debug_level'] & 8)
    $OUTPUT->footer = '<div style="position:absolute;top:5px;left:5px;width:400px;opacity:0.8;z-index:9000;"><form name="debugform"><textarea name="console" rows="15" cols="40" style="width:400px;border:none;font-size:x-small"></textarea></form>';

  $OUTPUT->write(trim(parse_with_globals($output)), $skin_path);

  if ($exit)
@@ -1133,6 +1225,55 @@
  }


// parse conditional code
function parse_rcube_conditions($input)
  {
  if (($matches = preg_split('/<roundcube:(if|elseif|else|endif)\s+([^>]+)>/is', $input, 2, PREG_SPLIT_DELIM_CAPTURE)) && count($matches)==4)
    {
    if (preg_match('/^(else|endif)$/i', $matches[1]))
      return $matches[0] . parse_rcube_conditions($matches[3]);
    else
      {
      $attrib = parse_attrib_string($matches[2]);
      if (isset($attrib['condition']))
        {
        $condmet = rcube_xml_condition($attrib['condition']);
        $submatches = preg_split('/<roundcube:(elseif|else|endif)\s+([^>]+)>/is', $matches[3], 2, PREG_SPLIT_DELIM_CAPTURE);

          if ($condmet)
             $result = $submatches[0] . preg_replace('/.*<roundcube:endif\s+[^>]+>/is', '', $submatches[3]);
        else
          $result = "<roundcube:$submatches[1] $submatches[2]>" . $submatches[3];
          
        return $matches[0] . parse_rcube_conditions($result);
        }
      else
        {
        raise_error(array('code' => 500, 'type' => 'php', 'line' => __LINE__, 'file' => __FILE__,
                          'message' => "Unable to parse conditional tag " . $matches[2]), TRUE, FALSE);
        }
      }
    }

  return $input;
  }

 
/**
 * Determines if a given condition is met
 *
 * @return True if condition is valid, False is not
 */
function rcube_xml_condition($condition)
  {
  $condition = preg_replace(
      array('/session:([a-z0-9_]+)/i', '/config:([a-z0-9_]+)/i', '/request:([a-z0-9_]+)/ie'),
      array("\$_SESSION['\\1']", "\$GLOBALS['CONFIG']['\\1']", "get_input_value('\\1', RCUBE_INPUT_GPC)"),
      $condition);

  return @eval("return (".$condition.");");
  }


function parse_rcube_xml($input)
  {
@@ -1141,12 +1282,19 @@
  }


/**
 * Convert a xml command tag into real content
 */
function rcube_xml_command($command, $str_attrib, $add_attrib=array())
  {
  global $IMAP, $CONFIG, $OUTPUT;
  
  $command = strtolower($command);
  $attrib = parse_attrib_string($str_attrib) + $add_attrib;
  
  // empty output if required condition is not met
  if (!empty($attrib['condition']) && !rcube_xml_condition($attrib['condition']))
    return '';

  // execute command
  switch ($command)
@@ -1160,7 +1308,7 @@
    // show a label
    case 'label':
      if ($attrib['name'] || $attrib['command'])
        return rep_specialchars_output(rcube_label($attrib));
        return Q(rcube_label($attrib));
      break;

    // create a menu item
@@ -1243,7 +1391,7 @@
      else if ($object=='productname')
        {
        $name = !empty($CONFIG['product_name']) ? $CONFIG['product_name'] : 'RoundCube Webmail';
        return rep_specialchars_output($name, 'html', 'all');
        return Q($name);
        }
      else if ($object=='version')
        {
@@ -1265,7 +1413,7 @@
        else
          $title .= ucfirst($task);
          
        return rep_specialchars_output($title, 'html', 'all');
        return Q($title);
        }

      break;
@@ -1331,12 +1479,12 @@

  // get localized text for labels and titles
  if ($attrib['title'])
    $attrib['title'] = rep_specialchars_output(rcube_label($attrib['title']));
    $attrib['title'] = Q(rcube_label($attrib['title']));
  if ($attrib['label'])
    $attrib['label'] = rep_specialchars_output(rcube_label($attrib['label']));
    $attrib['label'] = Q(rcube_label($attrib['label']));

  if ($attrib['alt'])
    $attrib['alt'] = rep_specialchars_output(rcube_label($attrib['alt']));
    $attrib['alt'] = Q(rcube_label($attrib['alt']));

  // set title to alt attribute for IE browsers
  if ($BROWSER['ie'] && $attrib['title'] && !$attrib['alt'])
@@ -1449,12 +1597,11 @@
  $table .= "<thead><tr>\n";

  foreach ($a_show_cols as $col)
    $table .= '<td class="'.$col.'">' . rep_specialchars_output(rcube_label($col)) . "</td>\n";
    $table .= '<td class="'.$col.'">' . Q(rcube_label($col)) . "</td>\n";

  $table .= "</tr></thead>\n<tbody>\n";
  
  $c = 0;

  if (!is_array($table_data)) 
    {
    while ($table_data && ($sql_arr = $DB->fetch_assoc($table_data)))
@@ -1466,8 +1613,8 @@
      // format each col
      foreach ($a_show_cols as $col)
        {
        $cont = rep_specialchars_output($sql_arr[$col]);
       $table .= '<td class="'.$col.'">' . $cont . "</td>\n";
        $cont = Q($sql_arr[$col]);
        $table .= '<td class="'.$col.'">' . $cont . "</td>\n";
        }

      $table .= "</tr>\n";
@@ -1485,8 +1632,8 @@
      // format each col
      foreach ($a_show_cols as $col)
        {
        $cont = rep_specialchars_output($row_data[$col]);
       $table .= '<td class="'.$col.'">' . $cont . "</td>\n";
        $cont = Q($row_data[$col]);
        $table .= '<td class="'.$col.'">' . $cont . "</td>\n";
        }

      $table .= "</tr>\n";
@@ -1555,12 +1702,12 @@
function parse_attrib_string($str)
  {
  $attrib = array();
  preg_match_all('/\s*([-_a-z]+)=["]([^"]+)["]?/i', stripslashes($str), $regs, PREG_SET_ORDER);
  preg_match_all('/\s*([-_a-z]+)=(["\'])([^"]+)\2/Ui', stripslashes($str), $regs, PREG_SET_ORDER);

  // convert attributes to an associative array (name => value)
  if ($regs)
    foreach ($regs as $attr)
      $attrib[strtolower($attr[1])] = $attr[2];
      $attrib[strtolower($attr[1])] = $attr[3];

  return $attrib;
  }
@@ -1592,15 +1739,15 @@
  $now = time();  // local time
  $now -= (int)date('Z'); // make GMT time
  $now += ($tz * 3600); // user's time
  $now_date = getdate();
  $now_date = getdate($now);

  $today_limit = mktime(0, 0, 0, $now_date['mon'], $now_date['mday'], $now_date['year']);
  $week_limit = mktime(0, 0, 0, $now_date['mon'], $now_date['mday']-6, $now_date['year']);

  // define date format depending on current time  
  if ($CONFIG['prettydate'] && !$format && $timestamp > $today_limit)
    return sprintf('%s %s', rcube_label('today'), date('H:i', $timestamp));
  else if ($CONFIG['prettydate'] && !$format && $timestamp > $week_limit)
  if ($CONFIG['prettydate'] && !$format && $timestamp > $today_limit && $timestamp < $now)
    return sprintf('%s %s', rcube_label('today'), date($CONFIG['date_today'] ? $CONFIG['date_today'] : 'H:i', $timestamp));
  else if ($CONFIG['prettydate'] && !$format && $timestamp > $week_limit && $timestamp < $now)
    $format = $CONFIG['date_short'] ? $CONFIG['date_short'] : 'D H:i';
  else if (!$format)
    $format = $CONFIG['date_long'] ? $CONFIG['date_long'] : 'd.m.Y H:i';
@@ -1718,7 +1865,7 @@
  $labels['pass'] = rcube_label('password');
  $labels['host'] = rcube_label('server');
  
  $input_user = new textfield(array('name' => '_user', 'id' => 'rcmloginuser', 'size' => 30));
  $input_user = new textfield(array('name' => '_user', 'id' => 'rcmloginuser', 'size' => 30, 'autocomplete' => 'off'));
  $input_pass = new passwordfield(array('name' => '_pass', 'id' => 'rcmloginpwd', 'size' => 30));
  $input_action = new hiddenfield(array('name' => '_action', 'value' => 'login'));
    
@@ -1732,14 +1879,22 @@
    $select_host = new select(array('name' => '_host', 'id' => 'rcmloginhost'));
    
    foreach ($CONFIG['default_host'] as $key => $value)
      $select_host->add($value, (is_numeric($key) ? $value : $key));
    {
      if (!is_array($value))
        $select_host->add($value, (is_numeric($key) ? $value : $key));
      else
        {
        unset($select_host);
        break;
        }
    }
      
    $fields['host'] = $select_host->show($_POST['_host']);
    $fields['host'] = isset($select_host) ? $select_host->show($_POST['_host']) : null;
    }
  else if (!strlen($CONFIG['default_host']))
    {
   $input_host = new textfield(array('name' => '_host', 'id' => 'rcmloginhost', 'size' => 30));
   $fields['host'] = $input_host->show($_POST['_host']);
    $input_host = new textfield(array('name' => '_host', 'id' => 'rcmloginhost', 'size' => 30));
    $fields['host'] = $input_host->show($_POST['_host']);
    }

  $form_name = strlen($attrib['form']) ? $attrib['form'] : 'form';