FAQ: Empfohlene Sessioneinstellungen

[DokuMan]

Unter "Erweiterte Konfiguration" -> "Sessions"  werden folgende Sessioneinstellungen aus Sicherheitsgründen empfohlen:

  [ Für Gäste sind keine Dateianhänge sichtbar ]

Quelle: Datensätze von Kunden durcheinander?

ACHTUNG: Diese Einstellungen funktionieren nicht bei allen Hostern und sind nur in Problemen-Fällen zu testen! Wenn nach den Änderungen kein login in den Adminbereich mehr möglich ist hilft folgendes: Login in den Administrationsbereich nach Änderungen nicht mehr möglich

[EDIT Tomcraft 07.07.2011: Beitrag erweitert.]



Linkback: https://www.modified-shop.org/forum/index.php?topic=8082.0

[Tomcraft]

Wäre das evtl. etwas, was wir per default im xtc_installer setzen sollten?

Im Trunk-Demoshop habe ich es in der Datenbank schon entsprechend gesetzt.

Grüße

Torsten

[DokuMan]

Keine schlechte Idee!

[Tomcraft]

Grüße

Torsten

[DokuMan]

Ich habe die neuen Voreinstellungen vorerst in r1408 mal nur in der "update_1.0.5.0_to_1.0.6.0.sql" aufgenommen, da ich nicht weiß, ob alle Webhoster mit den aktivierten Features zurecht kommen.

[Tomcraft]

Prima... und das in deinem Urlaub.



Wäre schön, wenn wir hier noch einiges Feedback bekommen könnten, ob die Einstellungen bei allen Providern problemlos funktionieren.

Grüße

Torsten

[fishnet]

Hi Torsten,

ich hatte letztes Jahr eine Kundin mit einem 1.05 Shop bei all-inkl., wo die Kunden massive Sessionprobleme hatten,
seit ich alles auf "false" gestellt habe, läuft es und es wurden bisher auch keine "Kundendaten-Vermischungen" gemeldet

Nun habe ich wieder einen Kunden, bei dem jahrelang im XT 3.04 alles gut lief (mit: alles auf "false"), und nun bei modified eCommerce Shopsoftware gibt's auf einmal Sessionprobleme (mit der empfohlenen Einstellung).
Der Kunde ist bei Alfahosting.

Gruß
Karsten

[AllyG]

Das mit All Inkl kann ich bestätigen!

Sobald ich auch nur eine Einstellung auf True setze habe ich massive Probleme. Schade eigentlich

[DokuMan]

Danke für die Rückmeldung!
Aus Gründen der Kompatiblität zu verschiedenen Webhostern können wir dann diese Einstellung nicht standardmäßig vorbelegen.

Ich habe das für die "update_1.0.5.0_to_1.0.6.0.sql" in r1848 wieder zurückgenommen.

[Tomcraft]

Damit ist das Thema hier quasi nicht mehr die aktuelle Empfehlung?

Grüße

Torsten

[DokuMan]

Doch, die Empfehlung die beiden Sachen auf "true" zu stellen, bleibt!
Jedoch können wir das nicht standardmäßig so ausliefern, da es wie oben erläutert leider nicht bei allen Webhostern funktiontioniert.

[Schreibwarendiele]

Früher musste ich bei All-Inkl. auch alles auf "false" stellen, seit kurzem (nach Serverumzug) gibt es aber keine Probs mit der empfohlenen Einstellung.
All-Inkl. hat da serverseitig wohl was geändert.

Vorschlag: Sollte im ersten Beitrag nicht ein Hinweis eingefügt werden, dass es bei manchen Servers Probs geben kann und man dann andere Einstellungen wählen muss? Nicht jeder liest alle Beiträge.

[Kerbie]

Hallo,

ich bin auf diesen Beitrag durch den User frangulus gestoßen, der mir sagte, dass sich nach dem Nutzen des SSL Bereiches die Session ID hinten anklemmt:

Hallo,

teilweise habe ich immer noch die Session-Id in der URL nur nachdem ich in einem SSL Bereich war, evtl. hängt es noch mit dem SSL Proxy zusammen.
Sonst fällt mir leider auch nichts mehr dazu ein.

Quelle: Liebevoll und handgemacht ist online

Das habe ich mal gerade getestet, und natürlich liegt er da richtig.

Jetzt habe ich die empfohlenen Einstellungen von DokuMan übernommen, jedoch klemmt die Session ID immer noch hinten an. Ich frage mich auch, ob die Einstellung "Checken der SSL Session ID" auf "false" stehen sollte, da diese bei mir auf "true" stand. Habe jetzt also die Empfehlung auf "true" gesetzt und die "SSL" auf "false"...

Aber nichts ändert sich dazu... Sie klemmt fröhlich hinten dran und es scheint ihr dabei gut zu gehen.

Wir sind bei all-inkl.com gehostet, worüber ich hier ja auch schon gelesen habe...

Wäre jetzt also alles korrekt?

Andere Frage:
Wirkt sich die Session ID irgendwie negativ aus, außer optisch? Ich meine optisch stört mich das nicht wirklich... Wichtig ist nur, dass es sicher ist...

Vielleicht kann mir da jemand helfen?

Viele Grüße

[web28]

Ich hänge einen neuen Screenshot an, bitte die neuen Warnhinweise beachten!

Das Anhängen der SID ist bedingt durch den SSL Proxy, bei einem echten Zertifikat ist das nicht so.

[piru]

Doch, die Empfehlung die beiden Sachen auf "true" zu stellen, bleibt!
Jedoch können wir das nicht standardmäßig so ausliefern, da es wie oben erläutert leider nicht bei allen Webhostern funktiontioniert.

Ich habe bis jetzt immer die beiden Empfehlungen auf "true" gehabt, und hat immer alles super funktioniert (1&1, modified eCommerce Shopsoftware 1.05).
In der letzten Zeit habe ich das Problem, dass bei FF, wenn ich mich einloggen möchte, wenn ich auf Login klicke, komme ich wieder in der Login Seite, ohne eingeloggt zu sein. dann lösche ich den Cache, muss ich den Browser zu machen und wieder auf, und manchmal funktioniert es, manchmal nicht.
Ich wollte mit dieser Lösung versuchen:

Großen Dank,

das war es: Im Adminbereich unter "Erweiterte Konfiguration" -> "Sessions" -> "Session erneuern" stand auf "True" und da funzt nix mehr auf "False" alles wieder super!

MfG Micha

Quelle: Login Problem !

aber ich weiß, dass ich wegen etwas schon lange die auf "true" gesetzt habe.
Welche von beiden empfohlenen Einstellungen war für Kundendatenvermischung verantwortlich?
Und welche Nachteile gibt wenn ich das probiere?

Gruß piru