Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
    Spenden
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:
    Spenden
  • Thema: Frage zum Session Bug in xt:Commerce

    Unterwassergaertner

    • Fördermitglied
    • Beiträge: 32
    Frage zum Session Bug in xt:Commerce
    am: 26. April 2010, 16:15:00
    Hallo Leute,

    vor einiger Zeit lief in verschiedenen Foren die Diskussion über zwei angebliche Bugs in der Sessionverwaltung vom xt:Commerce.

    Einige meinten ja das wäre ein Werbegag vom Hasan für seinen Multistore, aber ganz so einfach ist die Sache dann wohl doch nicht.
    Ich kann in meinem Schop den beschriebenen Effekt jedenfalls teilweise auch beobachten (zum Beispiel image oder template statt der Session-ID in der URL bei ausgeschaltetem Shopstat), zumal mir auch Kunden mitgeteilt haben, dass Artikel aus dem Warenkorb plötzlich verschwunden waren. Ich wollte mal höflichst anfragen, ob das Problem bekannt und eventuell im modified eCommerce Shopsoftware schon behoben wurde.

    Gruß

    Frank



    Linkback: https://www.modified-shop.org/forum/index.php?topic=5305.0

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 44.366
    • Geschlecht:
    Frage zum Session Bug in xt:Commerce
    Antwort #1 am: 26. April 2010, 18:02:17
    Hallo Frank,

    diese Lücke zieht sich durch alle xt:Commerce Forks, aber man sollte keine unnötige Panik verbreiten.

    Grüße

    Torsten

    Unterwassergaertner

    • Fördermitglied
    • Beiträge: 32
    Frage zum Session Bug in xt:Commerce
    Antwort #2 am: 26. April 2010, 19:35:58
    Hallo Torsten,

    von Panik kann keine Rede sein, aber da immer mehr Besucher mit IE8 kommen, sollte man das vielleicht mal in Angriff nehmen.

    Gruß

    Frank

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 44.366
    • Geschlecht:
    Frage zum Session Bug in xt:Commerce
    Antwort #3 am: 26. April 2010, 19:43:39
    Ja, definitiv! Wir haben das bisher ein wenig vor uns her geschoben, aber es wird angegangen werden. ;-)

    Grüße

    Torsten

    Phantom

    • Fördermitglied
    • Beiträge: 432
    Frage zum Session Bug in xt:Commerce
    Antwort #4 am: 27. April 2010, 06:41:50
    Frank,

    die größte Hürde scheint ja erstmal im Nachstellen des Problems zu liegen. Hast Du wenigstens Ansätze, um es reproduzieren zu können?

    web28

    • modified Team
    • Beiträge: 9.404
    Frage zum Session Bug in xt:Commerce
    Antwort #5 am: 27. April 2010, 08:10:14
    Hallo Frank,

    hast Du modified eCommerce Shopsoftware 1.03 im Einsatz?

    Gruss Web28

    Trucker05

    • Schreiberling
    • Beiträge: 347
    Frage zum Session Bug in xt:Commerce
    Antwort #6 am: 22. September 2010, 17:27:27
    Ja, definitiv! Wir haben das bisher ein wenig vor uns her geschoben, aber es wird angegangen werden. ;-)

    Grüße

    Torsten

    Habt Ihr das Problem nun behoben??
    Ist ja schließlich eine Wahnsinnige Sicherheitslücke zumal Kunde 2 alle Daten von Kunde 1 sieht!

    Also Datenschutz gleich NULL!!!

    Hier nochmal das Problem, wie es bei uns auftritt:
    Zitat
    Was passiert? Der Fehler tritt nur sporadisch auf, aber wir haben bemerkt, je mehr Benutzer auf der Seite "online" sind, desto häufiger tritt der Fehler auf, dass ein Kunde (zufällig) eine Session-ID eines vorherigen Kunden zugeteilt bekommt.
    Solange das nur reine Besucher der Seite sind, passiert gar nichts. Wenn sich aber ein Kunde anmeldet und etwas bestellt und dann der nächste Besucher fälschlicherweise dessen Session-ID zugeteilt bekommt, bestellt der neue Kunde dann mit der Adresse des bisherigen. Der neue Kunde kann auch nicht seine Tel. oder e-mail Adresse eingeben, sondern nur die Versandadresse.

    Das sieht dann so aus: Kunde Müller war ursprünglicher Kunde. Kunder Huber hat den Fehler durch die falsche Session-ID erhalten. Wenn der Fehler auftritt habe ich eine Bestellung mit Rechnungsanschrift: Müller, Versandanschrift: Huber. Blöderweise bekommt dann Müller eine automatische Bestätigungs- e-mail mit der Bestellung von Huber.

    Wenn einer von unserer Firma im Admin-Bereich eingeloggt ist und zufällig dessen Session-ID fälschlicherweise an den nächsten Besucher weitergegeben wird, dann kann dieser nächste Besucher sogar in unseren ADMIN-Bereich.

    Zum Nachweis:

    Installiert mal LiveZilla
    Bei diesem LiveChat Modul hat man die Möglichkeit "Mit zu Surfen"

    Also man sieht was der Kunde sieht!

    Dann meldet euch mal als Admin an schaut mal bei ein paar Kunden was die so anschauen.
    Schnell stellt sich heraus, dass manche Kunden das Adminfeld angezeigt bekommen!!!!!

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 44.366
    • Geschlecht:
    Frage zum Session Bug in xt:Commerce
    Antwort #7 am: 22. September 2010, 17:48:55
    Ihr könnt das gerne im Trunk Demoshop testen.

    Grüße

    Torsten

    p3e

    • Experte
    • Beiträge: 2.205
    Frage zum Session Bug in xt:Commerce
    Antwort #8 am: 09. Oktober 2010, 08:45:07
    Hallo bin hier ganz neu aber bei viele Jahre osc und bei xtc von der ersten Stunde an dabei gewesen.
    Mit meinem Shop hatte ich vor vielen Jahren auch ein (und vielleicht das gleiche) Session-Problem. Je mehr ich mich damit beschäftigte, desto häufiger schien es aufzutreten.
    Es hatte eine Weile gedauert, bis ich merkte, dass die Datei "whoisonline.php" für den Fehler verantwortlich war. In unserem Fall stellten wir fest, dass es bei Benutzung dieser Funktion, in manchen Fällen den Warenkorb unseres Kunden übernahmen.
    Bei genauerer Analyse der Datei zeigte sich, dass in dieser Datei die Kundenwarenkorbansicht unsauber gelöst war, denn um den Warenkorb einzusehen, nahm der Admin kurz die Session des Kunden an.
    Im Downloadbereich von xtc fand ich dann eine alternative whoisonline.php, die in dem Punkt anders arbeitet.
    Als ich diese Datei anstelle der originalen installierte, war das Problem behoben.

    Das Problem trat auch nicht auf allen Servern auf sondern hängt wohl auch mit der Sessionverwaltung und anderen Grundeinstellungen des Servers zusammen.

    Es kann jedoch auch noch ein anderes Problem sein, denn ich hatte immer nur mit dem Problem zu kämpfen, dass ich als Admin die Session mit einem Kunden tauschte. Dass zwei Kunden die Session untereinander tauschten, habe ich noch nie erlebt.
    Tritt das Problem bei Euch etwa auch ohne nutzen der original whoisonline auf?

    Trucker05

    • Schreiberling
    • Beiträge: 347
    Frage zum Session Bug in xt:Commerce
    Antwort #9 am: 09. Oktober 2010, 15:02:41
    Hallo,

    vielleicht kannst Du uns mal die abgeänderte whoisonline.php zur Verfügung stellen?

    p3e

    • Experte
    • Beiträge: 2.205
    Frage zum Session Bug in xt:Commerce
    Antwort #10 am: 10. Oktober 2010, 02:50:34
    Ich denke es ist diese Datei, die hier schon angeboten wird: Anzeige im Admin bei "Wer ist Online" mit Besucher hat Warenkorb angelegt

    Mein derzeit aktiver Shop ist eine stark an meine Bedürfnisse angepasste Version mit so vielen Änderungen, dass die abgeänderte whos_online.php für mich nur als Vorlage diente.
    Oder anders ausgedrückt: Die unter dem Link verfügbare whos_online.php ist sicherlich zu modified eCommerce Shopsoftware kompatibler als meine Version ;).
    Der Hinweis von Tomcraft klingt so, als wäre das Problem in der Trunk-Version bereits gelöst worden. Hat die Lösung ebenfalls mit der whos_online zu tun?

    Ich hatte jedoch nie das Problem, dass die Sessions zweier Kunden vertauscht werden sondern immer "nur" die Admin-Session mit der Kunden-Session. Dieses Problem hing auch nicht mit dem Browser zusammen, sondern schien serverabhängig zu sein. Seit der neuen whos_online habe ich keine Probleme mehr feststellen können.

    DokuMan

    • modified Team
    • Beiträge: 6.658
    • Geschlecht:
    Frage zum Session Bug in xt:Commerce
    Antwort #11 am: 11. Oktober 2010, 23:13:18
    Ich habe von einem ähnlichen Fall gelesen und würde euch auch mal gerne "FAQ: Empfohlene Sessioneinstellungen" ans Herz legen.

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 44.366
    • Geschlecht:
    Frage zum Session Bug in xt:Commerce
    Antwort #12 am: 11. Oktober 2010, 23:21:38
    Hatten wir die Einstellungen eigentlich mittlerweile "per default" übernommen? :?

    Grüße

    Torsten

    DokuMan

    • modified Team
    • Beiträge: 6.658
    • Geschlecht:
    Frage zum Session Bug in xt:Commerce
    Antwort #13 am: 11. Oktober 2010, 23:37:21
    Bis jetzt in r1408 nur in "update_1.0.5.0_to_1.0.6.0.sql", nicht in der "xtcommerce.sql".

    shopmee

    • Neu im Forum
    • Beiträge: 12
    Frage zum Session Bug in xt:Commerce
    Antwort #14 am: 16. November 2010, 08:38:58
    Ich hab ähnliche Probleme mit der Session. Ich habe auch das Orakeln von Hasan mal ernst genommen und die session.php vom H.H.G. multistore mit modified eCommerce Shopsoftware verglichen, und mir sind da einige Sachen aufgefallen.
    z.B.

    Code: PHP  [Auswählen]
    function _sess_read($key) {
          $qid = xtc_db_query("select value from " . TABLE_SESSIONS . " where sesskey = '" . $key . "' and expiry> '" . time() . "'");

          $value = xtc_db_fetch_array($qid);
          //if ($value['value']) {           <== ALT
          if ($value['value']!='') {         <== NEU
            return $value['value'];
          }

          return false;
        }
    Hier scheinen die "normalen" xt:Commerce-Forks doch einige Schwächen zu haben. Vielleicht sollte sich da mal ein Fachmann/frau mal dran versuchen. Oder bin ich jetzt zu pingelig?

    Shop Hosting
    10 Antworten
    3970 Aufrufe
    09. Juli 2009, 09:20:32 von DokuMan
    16 Antworten
    5556 Aufrufe
    26. August 2012, 17:01:16 von mhbosch
    47 Antworten
    19136 Aufrufe
    30. September 2013, 10:01:59 von Meppi
    anything