...
Deshalb kommt von mir die ganz klare Empfehlung die Einstellung ENABLE_SSL auf true zu stellen. Ich kann einfach nicht ausschliessen, dass es an irgendeiner Stelle Probleme macht.
...
Okay, verstehe, da das Aktivierennicht schaden kann, sagst du, empfehlen wir lieber es zu aktivieren, weil wir nicht ausschließen können, daß es irgendwo Probleme macht.
Wenn man jedoch feststellen kann, daß
ENABEL_SSL = true nicht schaden kann, kann man auch feststellen, ob
ENABLE_SSL = false schaden
kann. Die Logik und die Untersuchungs-Methode ist in beiden Fällen dieselbe.
Aber, damit hier nicht wieder "Gedanken" aufkommen:
Haltet euch an die Empfehlung GTBs.
Übrigens:
Wir hatten, um die Session-ID zu verifizieren (unabhängig von SSL). bereits einmal eine Diskussion:
>> Adminzugang - öffentlich erreichbar - Sicherheitsleck?Mit $_SERVER['HTTP_USER_AGENT'], $_SERVER[‘HTTP_USER_AGENT’] und einer auf 7 Stellen gekürzten $_SERVER[“REMOTE_ADDR”] könnte man eine effektive Sicherheitsfunktion die Session-ID betreffend einbauen.
(Bei IPv6 müsste man es wohl etwas anders machen als lediglich auf 7 Stellen kürzen.)
Gruß,
noRiddle
