<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 29 Sep 2019 at 20:32, Ralph Versteegen <<a href="mailto:teeemcee@gmail.com">teeemcee@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>This is an unimportant issue which doesn't require any action, I'm just documenting it here<br></div><div><br></div><div>Bird was complaining that the wiki wasn't working problem, not using his CSS or allowing him to access it. I had a look at the server error log and found the problem, messages like:<br></div></div></blockquote><div>*working properly <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div><br></div><div>[Sat Sep 28 03:35:42.980592 2019] [:error] [pid 16557] [client <a href="http://84.58.92.235:43630" target="_blank">84.58.92.235:43630</a>] [client 84.58.92.235] ModSecurity: Access denied with code 418 (phase 1). Pattern match "(?i:(?:\\\\A|[^\\\\d])0x[a-f\\\\d]{3,}[a-f\\\\d]*)+" at ARGS:version. [file "/dh/apache2/template/etc/mod_sec2/99_dreamhost_rules.conf"] [line "329"] [id "1990091"] [msg "SQL Hex Encoding Identified"] [hostname "<a href="http://rpg.hamsterrepublic.com" target="_blank">rpg.hamsterrepublic.com</a>"] [uri "/ohrrpgce/load.php"] [unique_id "XY83fv7zUpTIIXoI32ZlKQAAAAY"], referer: <a href="http://rpg.hamsterrepublic.com/ohrrpgce/index.php?title=User:TMC/vector.css&curid=8025&diff=33162&oldid=33121" target="_blank">http://rpg.hamsterrepublic.com/ohrrpgce/index.php?title=User:TMC/vector.css&curid=8025&diff=33162&oldid=33121</a></div><div><br></div><div>What's going on is that Dreamhost's mod_sec2 is blocking attempts to download Bird's CSS file because the request, which looks similar to<br> <a href="https://rpg.hamsterrepublic.com/ohrrpgce/load.php?debug=false&lang=en&modules=user.styles&only=styles&skin=metrolook&user=TMC&version=00aljk2" target="_blank">https://rpg.hamsterrepublic.com/ohrrpgce/load.php?debug=false&lang=en&modules=user.styles&only=styles&skin=metrolook&user=TMC&version=00aljk2</a></div><div>has a 'version' arg which looks like a hex code. E.g. if the version code were 0xaf5jk2 (0x followed by
 at least 3 hex characters) then it will be blocked. I estimate that the
 chance of being blocked is roughly 1/330 assuming the first character is always 0 (but sometimes it's a 1). That's rather high!
So<br>This blocking is done by the Dreamhost server and there is 
apparently no way to modify this rule (which I see described online as "very frequent false positives") except to disable protection completely.
I don't think we should do that. Mediawiki only seems to add a 'version' arg for custom user or site CSS and JS, and the version code only changes when the corresponding page is edited. So we may see this problem again in future, but the solution is just to touch the page.<br>
</div></div>
</blockquote></div></div>