include/security.php

   1 <?php
   2
   3 function authenticate_success($user_record, $login_initial = false, $interactive = false) {
   4
   5         $a = get_app();
   6
   7         $_SESSION['uid'] = $user_record['uid'];
   8         $_SESSION['theme'] = $user_record['theme'];
   9         $_SESSION['authenticated'] = 1;
  10         $_SESSION['page_flags'] = $user_record['page-flags'];
  11         $_SESSION['my_url'] = $a->get_baseurl() . '/profile/' . $user_record['nickname'];
  12         $_SESSION['my_address'] = $user_record['nickname'] . '@' . substr($a->get_baseurl(),strpos($a->get_baseurl(),'://')+3);
  13         $_SESSION['addr'] = $_SERVER['REMOTE_ADDR'];
  14
  15         $a->user = $user_record;
  16
  17         if($interactive) {
  18                 if($a->user['login_date'] === '0000-00-00 00:00:00') {
  19                         $_SESSION['return_url'] = 'profile_photo/new';
  20                         $a->module = 'profile_photo';
  21                         info( t("Welcome ") . $a->user['username'] . EOL);
  22                         info( t('Please upload a profile photo.') . EOL);
  23                 }
  24                 else
  25                         info( t("Welcome back ") . $a->user['username'] . EOL);
  26         }
  27
  28         $member_since = strtotime($a->user['register_date']);
  29         if(time() < ($member_since + ( 60 * 60 * 24 * 14)))
  30                 $_SESSION['new_member'] = true;
  31         else
  32                 $_SESSION['new_member'] = false;
  33         if(strlen($a->user['timezone'])) {
  34                 date_default_timezone_set($a->user['timezone']);
  35                 $a->timezone = $a->user['timezone'];
  36         }
  37
  38         $master_record = $a->user;
  39
  40         if((x($_SESSION,'submanage')) && intval($_SESSION['submanage'])) {
  41                 $r = q("select * from user where uid = %d limit 1",
  42                         intval($_SESSION['submanage'])
  43                 );
  44                 if(count($r))
  45                         $master_record = $r[0];
  46         }
  47
  48         $r = q("SELECT `uid`,`username`,`nickname` FROM `user` WHERE `password` = '%s' AND `email` = '%s'",
  49                 dbesc($master_record['password']),
  50                 dbesc($master_record['email'])
  51         );
  52         if($r && count($r))
  53                 $a->identities = $r;
  54         else
  55                 $a->identities = array();
  56
  57         $r = q("select `user`.`uid`, `user`.`username`, `user`.`nickname`
  58                 from manage left join user on manage.mid = user.uid
  59                 where `manage`.`uid` = %d",
  60                 intval($master_record['uid'])
  61         );
  62         if($r && count($r))
  63                 $a->identities = array_merge($a->identities,$r);
  64
  65         if($login_initial)
  66                 logger('auth_identities: ' . print_r($a->identities,true), LOGGER_DEBUG);
  67
  68         $r = q("SELECT * FROM `contact` WHERE `uid` = %d AND `self` = 1 LIMIT 1",
  69                 intval($_SESSION['uid']));
  70         if(count($r)) {
  71                 $a->contact = $r[0];
  72                 $a->cid = $r[0]['id'];
  73                 $_SESSION['cid'] = $a->cid;
  74         }
  75
  76         header('X-Account-Management-Status: active; name="' . $a->user['username'] . '"; id="' . $a->user['nickname'] .'"');
  77
  78         if($login_initial) {
  79                 $l = get_language();
  80
  81                 q("UPDATE `user` SET `login_date` = '%s', `language` = '%s' WHERE `uid` = %d LIMIT 1",
  82                         dbesc(datetime_convert()),
  83                         dbesc($l),
  84                         intval($_SESSION['uid'])
  85                 );
  86
  87                 call_hooks('logged_in', $a->user);
  88
  89                 if(($a->module !== 'home') && isset($_SESSION['return_url']))
  90                         goaway($a->get_baseurl() . '/' . $_SESSION['return_url']);
  91         }
  92
  93 }
  94
  95
  96
  97 function can_write_wall(&$a,$owner) {
  98
  99         static $verified = 0;
 100
 101         if((! (local_user())) && (! (remote_user())))
 102                 return false;
 103
 104         $uid = local_user();
 105
 106         if(($uid) && ($uid == $owner)) {
 107                 return true;
 108         }
 109
 110         if(remote_user()) {
 111
 112                 // use remembered decision and avoid a DB lookup for each and every display item
 113                 // DO NOT use this function if there are going to be multiple owners
 114
 115                 // We have a contact-id for an authenticated remote user, this block determines if the contact
 116                 // belongs to this page owner, and has the necessary permissions to post content
 117
 118                 if($verified === 2)
 119                         return true;
 120                 elseif($verified === 1)
 121                         return false;
 122                 else {
 123
 124                         $r = q("SELECT `contact`.*, `user`.`page-flags` FROM `contact` LEFT JOIN `user` on `user`.`uid` = `contact`.`uid`
 125                                 WHERE `contact`.`uid` = %d AND `contact`.`id` = %d AND `contact`.`blocked` = 0 AND `contact`.`pending` = 0
 126                                 AND `user`.`blockwall` = 0 AND `readonly` = 0  AND ( `contact`.`rel` IN ( %d , %d ) OR `user`.`page-flags` = %d ) LIMIT 1",
 127                                 intval($owner),
 128                                 intval(remote_user()),
 129                                 intval(CONTACT_IS_SHARING),
 130                                 intval(CONTACT_IS_FRIEND),
 131                                 intval(PAGE_COMMUNITY)
 132                         );
 133
 134                         if(count($r)) {
 135                                 $verified = 2;
 136                                 return true;
 137                         }
 138                         else {
 139                                 $verified = 1;
 140                         }
 141                 }
 142         }
 143
 144         return false;
 145 }
 146
 147
 148 function permissions_sql($owner_id,$remote_verified = false,$groups = null) {
 149
 150         $local_user = local_user();
 151         $remote_user = remote_user();
 152
 153         /**
 154          * Construct permissions
 155          *
 156          * default permissions - anonymous user
 157          */
 158
 159         $sql = " AND allow_cid = ''
 160                          AND allow_gid = ''
 161                          AND deny_cid  = ''
 162                          AND deny_gid  = ''
 163         ";
 164
 165         /**
 166          * Profile owner - everything is visible
 167          */
 168
 169         if(($local_user) && ($local_user == $owner_id)) {
 170                 $sql = '';
 171         }
 172
 173         /**
 174          * Authenticated visitor. Unless pre-verified,
 175          * check that the contact belongs to this $owner_id
 176          * and load the groups the visitor belongs to.
 177          * If pre-verified, the caller is expected to have already
 178          * done this and passed the groups into this function.
 179          */
 180
 181         elseif($remote_user) {
 182
 183                 if(! $remote_verified) {
 184                         $r = q("SELECT id FROM contact WHERE id = %d AND uid = %d AND blocked = 0 LIMIT 1",
 185                                 intval($remote_user),
 186                                 intval($owner_id)
 187                         );
 188                         if(count($r)) {
 189                                 $remote_verified = true;
 190                                 $groups = init_groups_visitor($remote_user);
 191                         }
 192                 }
 193                 if($remote_verified) {
 194
 195                         $gs = '<<>>'; // should be impossible to match
 196
 197                         if(is_array($groups) && count($groups)) {
 198                                 foreach($groups as $g)
 199                                         $gs .= '|<' . intval($g) . '>';
 200                         }
 201
 202                         $sql = sprintf(
 203                                 " AND ( allow_cid = '' OR allow_cid REGEXP '<%d>' )
 204                                   AND ( deny_cid  = '' OR  NOT deny_cid REGEXP '<%d>' )
 205                                   AND ( allow_gid = '' OR allow_gid REGEXP '%s' )
 206                                   AND ( deny_gid  = '' OR NOT deny_gid REGEXP '%s')
 207                                 ",
 208                                 intval($remote_user),
 209                                 intval($remote_user),
 210                                 dbesc($gs),
 211                                 dbesc($gs)
 212                         );
 213                 }
 214         }
 215         return $sql;
 216 }
 217
 218
 219 function item_permissions_sql($owner_id,$remote_verified = false,$groups = null) {
 220
 221         $local_user = local_user();
 222         $remote_user = remote_user();
 223
 224         /**
 225          * Construct permissions
 226          *
 227          * default permissions - anonymous user
 228          */
 229
 230         $sql = " AND allow_cid = ''
 231                          AND allow_gid = ''
 232                          AND deny_cid  = ''
 233                          AND deny_gid  = ''
 234                          AND private = 0
 235         ";
 236
 237         /**
 238          * Profile owner - everything is visible
 239          */
 240
 241         if(($local_user) && ($local_user == $owner_id)) {
 242                 $sql = '';
 243         }
 244
 245         /**
 246          * Authenticated visitor. Unless pre-verified,
 247          * check that the contact belongs to this $owner_id
 248          * and load the groups the visitor belongs to.
 249          * If pre-verified, the caller is expected to have already
 250          * done this and passed the groups into this function.
 251          */
 252
 253         elseif($remote_user) {
 254
 255                 if(! $remote_verified) {
 256                         $r = q("SELECT id FROM contact WHERE id = %d AND uid = %d AND blocked = 0 LIMIT 1",
 257                                 intval($remote_user),
 258                                 intval($owner_id)
 259                         );
 260                         if(count($r)) {
 261                                 $remote_verified = true;
 262                                 $groups = init_groups_visitor($remote_user);
 263                         }
 264                 }
 265                 if($remote_verified) {
 266
 267                         $gs = '<<>>'; // should be impossible to match
 268
 269                         if(is_array($groups) && count($groups)) {
 270                                 foreach($groups as $g)
 271                                         $gs .= '|<' . intval($g) . '>';
 272                         }
 273
 274                         $sql = sprintf(
 275                                 " AND ( private = 0 OR ( private = 1 AND wall = 1 AND ( allow_cid = '' OR allow_cid REGEXP '<%d>' )
 276                                   AND ( deny_cid  = '' OR  NOT deny_cid REGEXP '<%d>' )
 277                                   AND ( allow_gid = '' OR allow_gid REGEXP '%s' )
 278                                   AND ( deny_gid  = '' OR NOT deny_gid REGEXP '%s')))
 279                                 ",
 280                                 intval($remote_user),
 281                                 intval($remote_user),
 282                                 dbesc($gs),
 283                                 dbesc($gs)
 284                         );
 285                 }
 286         }
 287
 288         return $sql;
 289 }
 290
 291
 292 /*
 293  * Functions used to protect against Cross-Site Request Forgery
 294  * The security token has to base on at least one value that an attacker can't know - here it's the session ID and the private key.
 295  * In this implementation, a security token is reusable (if the user submits a form, goes back and resubmits the form, maybe with small changes;
 296  * or if the security token is used for ajax-calls that happen several times), but only valid for a certain amout of time (3hours).
 297  * The "typename" seperates the security tokens of different types of forms. This could be relevant in the following case:
 298  *    A security token is used to protekt a link from CSRF (e.g. the "delete this profile"-link).
 299  *    If the new page contains by any chance external elements, then the used security token is exposed by the referrer.
 300  *    Actually, important actions should not be triggered by Links / GET-Requests at all, but somethimes they still are,
 301  *    so this mechanism brings in some damage control (the attacker would be able to forge a request to a form of this type, but not to forms of other types).
 302  */
 303 function get_form_security_token($typename = '') {
 304         $a = get_app();
 305
 306         $timestamp = time();
 307         $sec_hash = hash('whirlpool', $a->user['guid'] . $a->user['prvkey'] . session_id() . $timestamp . $typename);
 308
 309         return $timestamp . '.' . $sec_hash;
 310 }
 311
 312 function check_form_security_token($typename = '', $formname = 'form_security_token') {
 313         if (!x($_REQUEST, $formname)) return false;
 314         $hash = $_REQUEST[$formname];
 315
 316         $max_livetime = 10800; // 3 hours
 317
 318         $a = get_app();
 319
 320         $x = explode('.', $hash);
 321         if (time() > (IntVal($x[0]) + $max_livetime)) return false;
 322
 323         $sec_hash = hash('whirlpool', $a->user['guid'] . $a->user['prvkey'] . session_id() . $x[0] . $typename);
 324
 325         return ($sec_hash == $x[1]);
 326 }
 327
 328 function check_form_security_std_err_msg() {
 329         return t('The form security token was not correct. This probably happened because the form has been opened for too long (>3 hours) before submitting it.') . EOL;
 330 }
 331 function check_form_security_token_redirectOnErr($err_redirect, $typename = '', $formname = 'form_security_token') {
 332         if (!check_form_security_token($typename, $formname)) {
 333                 $a = get_app();
 334                 logger('check_form_security_token failed: user ' . $a->user['guid'] . ' - form element ' . $typename);
 335                 logger('check_form_security_token failed: _REQUEST data: ' . print_r($_REQUEST, true), LOGGER_DATA);
 336                 notice( check_form_security_std_err_msg() );
 337                 goaway($a->get_baseurl() . $err_redirect );
 338         }
 339 }
 340 function check_form_security_token_ForbiddenOnErr($typename = '', $formname = 'form_security_token') {
 341         if (!check_form_security_token($typename, $formname)) {
 342             $a = get_app();
 343                 logger('check_form_security_token failed: user ' . $a->user['guid'] . ' - form element ' . $typename);
 344                 logger('check_form_security_token failed: _REQUEST data: ' . print_r($_REQUEST, true), LOGGER_DATA);
 345                 header('HTTP/1.1 403 Forbidden');
 346                 killme();
 347         }
 348 }