Bei bestellvorgang shop adresse doppelt im browser

[noRiddle (revilonetz)]

Liest PayPal irgendwelchen Code des Shops automatisch aus und sendet davon abhängig Daten oder Code an den Shop, oder wie, sodaß man von dem was du sagst im Code nichts finden kann ?
Im Code ist das was du sagst nicht nachvollziehbar.
Auf mehreren 2.0.2.2-Shops läuft es außerdem seit langem mit ENABLE_SSL false.
awids berichtet Ähnliches.

Gruß,
noRiddle

[hpzeller]

[...]
Bei PayPal wird auch der Button dann nicht per SSL eingebunden und du hast unsichere Elemente auf der Seite.
[...]

Wenn du damit folgende Codestelle meinst ist die Aussage nicht korrekt, denn bei Vollverschlüsselung, und darum geht es ja hier, ist HTTPS_SERVER === HTTP_SERVER

\Downloads\modified-shop_2.0.5.1-r12725_install\modified-shop_2.0.5.1-r12725_install\shoproot\includes\external\paypal\classes\PayPalPaymentBase.php Zeile 368

Code: PHP  [Auswählen]

$image = '<img src="'.((ENABLE_SSL == true) ? HTTPS_SERVER : HTTP_SERVER).DIR_WS_CATALOG.DIR_WS_ICONS.$image.'" id="paypalcartbutton" />';

Gruss
Hanspeter

[hpzeller]

Nachtrag:
Ich habe jetzt mal in der Shopsoftware nach der Konstanten ENABLE_SSL gesucht, dabei habe 49 Stellen gefunden, siehe Bild. Dann habe ich alle diese Stellen angeschaut. Meine Schlussfolgerung ist, dass es bei keiner dieser Stellen zwingend notwendig ist das die Konstante den Wert true hat, sofern der Shop komplett verschlüsselt betrieben wird. Also die Antwort #102 im Thread ANLEITUNG: Kompletter Shop über https mittels SSL geschützt kann ich für die aktuelle Shopversion 2.0.5.1 rev 12725 nicht bestätigen.

Wenn  jemand dies anders sieht, oder noch weitere Stellen kennt oder findet bei denen ENABLE_SSL vorkommt, soll das bitte hier posten.

Gruss
Hanspeter

[noRiddle (revilonetz)]

Habe ich ebenso gemacht, ohne Screenshot .
Einzig die von mir in Antwort #26 zitierte Stelle in /includes/modules/verify_session.php müsste näher betrachtet werden, bezogen auf SESSION_CHECK_SSL_SESSION_ID.

Gruß,
noRiddle

[awids]

Sei noch erwähnt, dass die Zahlungsdienstleister nicht die Keys der Definitionen (HTTP_SERVER, HTTPS_SERVER) zurückgeliefert bekommen, sondern den entsprechenden Wert (Value), der bei Vollverschlüsselung ja immer https:// ist.
(Für Mitlesende, denen obige Ausführungen wie Chinesisch vorkommen.  )

[hpzeller]

[...]
Einzig die von mir in Post #26 zitierte Stelle in /includes/modules/verify_session.php müsste näher betrachtet werden, bezogen auf SESSION_CHECK_SSL_SESSION_ID.
[...]

Die Konstante SESSION_CHECK_SSL_SESSION_ID stammt noch aus "xtc" Zeiten, hat in der Datenbank den Wert False und kann in der Administration nicht gesetzt bzw. geändert werden, ist also quasi eine Datenbankleiche.

Gruss
Hanspeter

[noRiddle (revilonetz)]

...wie ich bereits schrieb. Wenn es auch nicht geplant ist die Konstante in Zukunft zu benutzen ist die zitierte Code-Stelle verkehrt oder überflüssig, je nachdem ob man der Meinung ist das noch benötigen zu wollen.

Gruß,
noRiddle

[Tomcraft]

Gerhard hat doch hier bereits eine Empfehlung abgegeben:

Es ist WICHTIG dass ENABLE_SSL auf true gestellt wird wenn der Shop auf SSL läuft. Da hängen Zahlarten wie PayPal, Payone, Sofortüberweisung dran !
[...]

Diese nennen wir auch hier für Shopversion 2.x: ANLEITUNG: Kompletter Shop über https mittels SSL geschützt

Nur mal ein Beispiel aus der "/includes/modules/verify_session.php":

Code: PHP  [Auswählen]

// verify the ssl_session_id if the feature is enabled
if (($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'True') && (ENABLE_SSL == true) && ($session_started == true)) {
  $ssl_session_id  = $_SERVER['SSL_SESSION_ID'];
  $ssl_session_id2 = getenv('SSL_SESSION_ID');
  $ssl_session_id  = ($ssl_session_id == $ssl_session_id2) ? $ssl_session_id : $ssl_session_id.';'.$ssl_session_id2;
  if (!isset($_SESSION['SSL_SESSION_ID'])) {
    $_SESSION['SESSION_SSL_ID'] = $ssl_session_id;
  }
  if ($_SESSION['SESSION_SSL_ID'] != $ssl_session_id) {
    xtc_session_recreate();
    xtc_session_destroy();
    if (defined('RUN_MODE_ADMIN')) {
      xtc_redirect(xtc_catalog_href_link('ssl_check.php'));
    } else {
      xtc_redirect(xtc_href_link(FILENAME_SSL_CHECK));
    }
  }
}

Und nun entscheidet selbst, ob "ENABLE_SSL" zusätzlich "true" gesetzt werden sollte oder nicht.

Grüße

Torsten

[noRiddle (revilonetz)]

Du beweist leider gerade, daß du nicht alles gelesen hast.
Der von dir zitierte Code ist der einzige welcher bedenkenswert ist, wie ich bereits mehrfach schrieb. Aaaber:
Wie ich bereits ebenfalls schrieb wird SESSION_CHECK_SSL_SESSION_ID auf 'false' gesetzt bei der Installation und ist nirgends einstellbar und
- ich wiederhole mich (und hpzeller) -
es stellt sich nun die Frage ob die Konstante irgendwann einmal benutzt werden soll.
Momentan ist der Code wirkungslos und wenn die Konstante, wie hpzeller sagt, ein Relikt aus alten 'xtc' Zeiten ist auch obsolet.

Möchte man ein (sicherlich sinnvolles) Sicherheits-Feature die Session-ID betreffend müsste man die Condition ohne die Konstante (die dann auch ganz rausfliegen sollte) anders definieren.
Insofern $request_type aus /includes/request_type.php sicher erkannt wird (auch bei Strato, siehe eigtl. Thema des Threads) würde es sogar reichen lediglich so abzufragen

Code: PHP  [Auswählen]

if ($request_type == 'SSL' && $session_started == true) {

um das Sicherheits-Feature zu haben.

Am Besten aber vielleicht gar so:

Code: PHP  [Auswählen]

if ($request_type == 'SSL' && $session_started == true || (HTTP_SERVER = HTTPS_SERVER)) {

Gruß,
noRiddle

*NACHTRAG*
Ach, und das

Gerhard hat doch hier bereits eine Empfehlung abgegeben:
...

ist ja gerade kein Argument, denn genau diese Empfehlung (die eher die Behauptung einer Notwendigkeit ist) steht zur Diskussion.

[noRiddle (revilonetz)]

...womit das dann weiterhin von offizieller Seite her ungeklärt bleibt ?

Gruß,
noRiddle

[Timm]

Hallo @noRiddle

Du müsstest doch mittlerweile auch wissen, wie man zu einer Antwort kommt.  Erstelle ein Ticket zb mit " Konstante SESSION_CHECK_SSL_SESSION_ID überflüssig?" oder greif zum Telefon und ruf Torsten oder Gerhard an. Dann bekommst du sicher eine Antwort.

Ich verstehe vom Problem nicht sehr viel, weshalb ich diesmal auch kein Ticket erstelle. Aber Du bzw ihr (mittlerweile seid ihr ja zu dritt) verunsichert damit andere Shopbetreiber ohne PHP Kenntnisse. Das Team sagt, dass enable_ssl auf true stehen soll. Ihr sagt, dass wird nirgends genutzt.  Obwohl es auch keine negativen Folgen hätte, wenn es auf true steht, da eurer Meinung nach ja nirgends genutzt, empfehlt ihr es auf false zu setzen. Zumindest suggeriert ihr das, wenn ihr immer wieder sagt, dass es keine Probleme gab, wenn es auf false steht. Was, wenn es aber doch irgendwo wichtig ist?

Das noch schlimmere daran ist, dass man als wenig aktiver Nutzer des Forums denken könnte, dass es zwischen Team und Foren-Experten eklatante Meinungsverschiedenheiten oder sogar Streit gibt, statt zusammen zu arbeiten, was gar nicht der Fall ist. Das wirft am Ende auf beide Seiten ein schlechtes Licht. Je nach dem welcher Seite sich der Forennutzer eher zugewandt fühlt. Dadurch verliert immer jemand sinnlos an Reputation.

Du gehst auch davon aus, dass Torsten und Gerhard hier mitlesen, wenn du nochmal nachhakst weil keine Antwort kam. Du weißt doch eigentlich recht gut, dass das sehr oft nicht der Fall ist. Die letzte Antwort von Torsten kam nur, weil ich auf den "Moderator informieren Button" geklickt habe, um das endlich mal zu klären. Die Diskussion kommt ja alle halbe Jahre wieder, wenn ein neuer Nutzer seinen Shop erstmalig einrichtet und Probleme mit SSL hat.

Gruss Timm

[noRiddle (revilonetz)]

Darüber könnte ich einen Roman schreiben, tue es aber nicht weil ich müde bin.
Nur kurz sei gesagt:
Verunsichern tut nicht mein/unser Widerspruch sondern das Nicht-Klären, wie es so oft der Fall ist.
Wenn Tomcraft mit einem Satz wie "Gerhard hat doch hier bereits eine Empfehlung abgegeben" aufwartet, das anscheinden als Dogma ansieht
- was soll das sonst für ein Argument sein ? -
und gleichzeitig beweist, daß er das davor nicht gelesen hat, denn der von ihm gepostete Code ist bereits mehrfach von mir in diesem Thread erwähnt worden, dann soll ich dazu nichts sagen dürfen sondern soll stillschweigend jemanden anrufen ?
Geht's noch ? Wenn jemand was zu klären hat kann er mich anrufen.

Ansonsten:
Ich brauche weder deinen Rat noch will ich "zu einer Antwort" kommen. Ich hatte bislang einfach das Interesse daran, daß Dinge für alle geklärt werden. Von Behauptungen ohne Begründung habe ich jedenfalls die Schnauze voll.

Außerdem werde ich weiterhin meiner Meinung hier freien Lauf lassen. Wenn das nicht passt muß man mich sperren, würde zu dem was momentan allgemein in diesem Land abgeht passen.

Gruß,
noRiddle

[awids]

Mal ein bisschen back to topic...

Warum ist HTTP_SERVER nicht definiert?

Die Nicht-Definition der HTTP_SERVER-Konstante in Verbindung mit ENABLE_SSL == true hatte das Problem "Bei bestellvorgang shop adresse doppelt im browser" verursacht.

Die selbe Ursache (allerdings unabhängig von ENABLE_SSL) hatte auch die Fehlermeldung im Backend:

WARNUNG: Ihre Shop Domain konnte nicht validiert werden (Mögliche Ursachen: Fehler beim Format der Domain oder internationalisierte Domainnamen (internationalized domain name, IDN) - Umlautdomain)

Entgegen unseres Anratens hatte Alex8787 die Angabe nicht ergänzt, bzw. die geänderte configure.php nicht wieder hochgeladen.

Fehler in der Serverkonfiguration oder gar in der Shopsoftware können damit vollständig ausgeschlossen werden.

Und ein bisschen abschließendes OffTopic:
Solange ich keinen Shop sehe, der auf ENABLE_SSL == false Zicken macht, werde ich diese Einstellung so beibehalten.

[noRiddle (revilonetz)]

Aah, das erklärt natürlich alles.

Vieleicht sollte man das Ganze im Zusammenhang mit SESSION_CHECK_SSL_SESSION_ID mal neu überdenken.
Das im Code oft benutzte

Code: PHP  [Auswählen]

(ENABLE_SSL == true) ? HTTPS_SERVER : HTTP_SERVER)

könnte obsolet werden wenn man beschließt, daß es Shops ohne Komplett-SSL nicht mehr geben soll;
denn das wäre auch zeitgemäß.

Gruß,
noRiddle

[GTB]

Wenn ich eine Aussage treffe, wird das als "offiziell" angesehen. Deshalb kommt von mir die ganz klare Empfehlung die Einstellung ENABLE_SSL auf true zu stellen. Ich kann einfach nicht ausschliessen, dass es an irgendeiner Stelle Probleme macht.

$_SERVER['SSL_SESSION_ID'] ist nicht zuverlässig vorhanden. Auf NGINX Systemen gar nicht. Deshalb wurden die Einstellmöglichkeit SESSION_CHECK_SSL_SESSION_ID auch entfernt bzw. ausgeblendet und per default auf false gestellt.

Das im Code oft benutzte

Code: PHP  [Auswählen]

(ENABLE_SSL == true) ? HTTPS_SERVER : HTTP_SERVER)

könnte obsolet werden wenn man beschließt, daß es Shops ohne Komplett-SSL nicht mehr geben soll;
denn das wäre auch zeitgemäß.

Da gebe ich dir Recht, aber solange das nicht der Fall ist, bleibe ich bei meiner Empfehlung.

Gruss Gerhard