Bei bestellvorgang shop adresse doppelt im browser

[noRiddle (revilonetz)]

Hol dir Hilfe z.B. beim modified-Team. Ohne, daß jemand mit Plan da draufschaut wird das hier mangels hellseherischer Fähigkeiten nichts.

Gruß,
noRiddle

[awids]

Ich habe euch gestern Abend eine E-Mail geschrieben. Würde mir das gerne mal anschauen und ggf. beheben.

[awids]

Nach Abänderung der Zeile

Code: PHP  [Auswählen]

 // secure SSL
  defined('ENABLE_SSL') or define('ENABLE_SSL', true); // secure webserver for checkout procedure?

in

Code: PHP  [Auswählen]

 // secure SSL
  defined('ENABLE_SSL') or define('ENABLE_SSL', false); // secure webserver for checkout procedure?

der configure.php war das Problem behoben. Da die HTTP_SERVER-Definition bereits mit https angegeben war und auch die .htaccess alle nötigen Weiterleitungen permanent übernimmt, ist die Einstellung nicht notwendig und führte - zumindest auf eurem Server - dazu, das auf gesicherten Seiten versucht wurde, die HTTPS_SERVER-Definition zu laden und zu einer Vermischung führte.

[Alex8787]

Vielen lieben Dank  awids, der shop checkout funktioniert nun wie er soll. 

[noRiddle (revilonetz)]

@awids
Nachdem vor einiger Zeit, als SSL auf allen Seiten eingeführt wurde, seitens des modified-Teams behauptet wurde (finde gerade nicht mehr wo), daß ENABLE_SSL auf 'true' stehen müsse, was meine Wenigkeit damals bezweifelte (wegen des "müsse"), wundert mich das jetzt ein wenig. ENABLE_SSL wird im Code lediglich in dieser Weise benutzt:

Code: PHP  [Auswählen]

ENABLE_SSL === true ? HTTPS_SERVER : HTTP_SERVER

Wie kommt da eine doppelte URL zu stande ?
Sollte man vielleicht herausbekommen, nicht, daß es an anderer Stelle im Shop-Code einen Fehler gibt...

Gruß,
noRiddle

[awids]

Wie das passieren kann (und inwieweit das global oder serverabhängig ist) muss unbedingt geprüft werden. Ich habe nur meine Beobachtungen geschildert. Da ich gerade auf Arbeit bin, wollte ich ein Ticket dafür erst gegen Abend anlegen, somal ich das Verhalten in meinen Testshops auch erst reproduzieren wollte.

btw... Die Einstellung ENABLE_SSL == true habe ich entgegen der Anleitung vom Team in den letzten 4 (fast 5 Jahren) nie gesetzt, weil ich den Bedarf einfach nicht mehr gesehen hatte. (Dürfte also knapp 70 Shop geben, die seitdem ohne Probleme funktionieren.  ) Die hatte in der Vergangenheit dafür gesorgt, dass bestimmte Bereiche (wie der Checkout) abgesichert wurden. Bei einer permanenten Vollverschlüsselung also total unnötig.

[noRiddle (revilonetz)]

Letzter Absatz: Exactly.

Gruß,
noRiddle

[Timm]

Moin

ANLEITUNG: Kompletter Shop über https mittels SSL geschützt

Es soll wohl zb für Paypal Webhooks wichtig sein.

Da man beim Shopupdate die includes/configure.php neu erstellen lassen kann und dadurch automatisch  unwichtige Zeilen entfernt, wichtige Zeile geändert oder hinzugefügt werden, würde die Änderung also nicht lange Bestand haben, da der installer das dann wieder auf true umstellt.

Gruss Timm

[noRiddle (revilonetz)]

Die von dir zitierte Aussage von Tomcraft ist nicht nachvollziehbar.
Man kann ja leicht den Shop-Code nach ENABLE_SSL durchsuchen. Es ist wie ich sagte. Die wenigen Fälle wo die Abfrage nicht wie von mir gepostet durchgeführt wird haben soweit ich das sehe keine negative Wirkung wenn ENABLE_SSL auf 'false' steht.
Das ist ja eigtl. auch logisch, denn wenn HTTP_SERVER mit https definiert ist, wie soll auf http zurückgefallen werden (insofern es eine automat. Umleitung auf https in der .htacces gibt) ?

Fest steht, daß die wahre Ursache bei Alex8787 gefunden werden sollte.

Gruß,
noRiddle

[awids]

Ich kann das Verhalten leider nirgends reproduzieren. Es scheint ein Problem mit dem Server zu geben, auf dem Alex8787 seinen Shop hostet. Oder mal ganz weit aus der Luft gegriffen, könnte auch bei der Übertragung eine wichtige Datei beschädigt auf dem Server gelandet sein. Für so ein Einzelfall-Problem kann ich leider kein Ticket eröffnen.

[Timm]

Oder es sind doch irgendwelche Weiterleitungen beim Hoster unbeabsichtigt aktiviert. Weiterleitung könnten heißen: "von http zu https" oder "non www zu www" oder "nach https umschreiben" oder  "SEO redirect" usw.

Gruss Timm

[noRiddle (revilonetz)]

Das vermute ich ebanfalls.
Vielleicht mal in der application_bottom.php $request_type ausgeben lassen, evtl. wird der nicht als SSL erkannt (siehe /includes/request_type.php, bei Strato iss ja immer alles anders als bei den anderen Mädchen ).
Allerdings dürfte selbst das keine Doppel-URL bewirken können.

Es gibt übrigens einen Fall wo es wichtig sein könnte, daß ENABLE_SSL auf 'true' steht, in der /includes/modules/verify_session.php:

Code: PHP  [Auswählen]

if (($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'True') && (ENABLE_SSL == true) && ($session_started == true)) {
  $ssl_session_id  = $_SERVER['SSL_SESSION_ID'];
  $ssl_session_id2 = getenv('SSL_SESSION_ID');
  $ssl_session_id  = ($ssl_session_id == $ssl_session_id2) ? $ssl_session_id : $ssl_session_id.';'.$ssl_session_id2;
  if (!isset($_SESSION['SSL_SESSION_ID'])) {
    $_SESSION['SESSION_SSL_ID'] = $ssl_session_id;
  }
  if ($_SESSION['SESSION_SSL_ID'] != $ssl_session_id) {
    xtc_session_recreate();
    xtc_session_destroy();
    if (defined('RUN_MODE_ADMIN')) {
      xtc_redirect(xtc_catalog_href_link('ssl_check.php'));
    } else {
      xtc_redirect(xtc_href_link(FILENAME_SSL_CHECK));
    }
  }
}

Ein Sicherheitsfeature was die Session-ID betrifft.
Allerdings ist das per Default deaktiviert (SESSION_CHECK_SSL_SESSION_ID wird' bei Installation auf 'false' gesetzt und kann nirgends, außer direkt in der DB, konfiguriert werden, seltsamerweise nicht einmal über /admin/configuration.php?gID=6). Es könnte aber ja in Zukunft aktiviert und benutzt werden.

Gruß,
noRiddle

[GTB]

Es ist WICHTIG dass ENABLE_SSL auf true gestellt wird wenn der Shop auf SSL läuft. Da hängen Zahlarten wie PayPal, Payone, Sofortüberweisung dran !

Gruss Gerhard

[noRiddle (revilonetz)]

Inwiefern hängen die da dran ?
Im Code ist davon nichts zu sehen.

Gruß,
noRiddle

[GTB]

Weiterleitungen bzw. Rückleitungen hängen an diesem Parameter. Wenn ein Post Paramater kommt und umgeleitet wird, ist der Request futsch...

Bei PayPal wird auch der Button dann nicht per SSL eingebunden und du hast unsichere Elemente auf der Seite.

etc...