Frage zum Session Bug in xt:Commerce

[Unterwassergaertner]

Hallo Leute,

vor einiger Zeit lief in verschiedenen Foren die Diskussion über zwei angebliche Bugs in der Sessionverwaltung vom xt:Commerce.

Einige meinten ja das wäre ein Werbegag vom Hasan für seinen Multistore, aber ganz so einfach ist die Sache dann wohl doch nicht.
Ich kann in meinem Schop den beschriebenen Effekt jedenfalls teilweise auch beobachten (zum Beispiel image oder template statt der Session-ID in der URL bei ausgeschaltetem Shopstat), zumal mir auch Kunden mitgeteilt haben, dass Artikel aus dem Warenkorb plötzlich verschwunden waren. Ich wollte mal höflichst anfragen, ob das Problem bekannt und eventuell im modified eCommerce Shopsoftware schon behoben wurde.

Gruß

Frank



Linkback: https://www.modified-shop.org/forum/index.php?topic=5305.0

[Tomcraft]

Hallo Frank,

diese Lücke zieht sich durch alle xt:Commerce Forks, aber man sollte keine unnötige Panik verbreiten.

Grüße

Torsten

[Unterwassergaertner]

Hallo Torsten,

von Panik kann keine Rede sein, aber da immer mehr Besucher mit IE8 kommen, sollte man das vielleicht mal in Angriff nehmen.

Gruß

Frank

[Tomcraft]

Ja, definitiv! Wir haben das bisher ein wenig vor uns her geschoben, aber es wird angegangen werden.

Grüße

Torsten

[Phantom]

Frank,

die größte Hürde scheint ja erstmal im Nachstellen des Problems zu liegen. Hast Du wenigstens Ansätze, um es reproduzieren zu können?

[web28]

Hallo Frank,

hast Du modified eCommerce Shopsoftware 1.03 im Einsatz?

Gruss Web28

[Trucker05]

Ja, definitiv! Wir haben das bisher ein wenig vor uns her geschoben, aber es wird angegangen werden.

Grüße

Torsten

Habt Ihr das Problem nun behoben??
Ist ja schließlich eine Wahnsinnige Sicherheitslücke zumal Kunde 2 alle Daten von Kunde 1 sieht!

Also Datenschutz gleich NULL!!!

Hier nochmal das Problem, wie es bei uns auftritt:

Was passiert? Der Fehler tritt nur sporadisch auf, aber wir haben bemerkt, je mehr Benutzer auf der Seite "online" sind, desto häufiger tritt der Fehler auf, dass ein Kunde (zufällig) eine Session-ID eines vorherigen Kunden zugeteilt bekommt.
Solange das nur reine Besucher der Seite sind, passiert gar nichts. Wenn sich aber ein Kunde anmeldet und etwas bestellt und dann der nächste Besucher fälschlicherweise dessen Session-ID zugeteilt bekommt, bestellt der neue Kunde dann mit der Adresse des bisherigen. Der neue Kunde kann auch nicht seine Tel. oder e-mail Adresse eingeben, sondern nur die Versandadresse.

Das sieht dann so aus: Kunde Müller war ursprünglicher Kunde. Kunder Huber hat den Fehler durch die falsche Session-ID erhalten. Wenn der Fehler auftritt habe ich eine Bestellung mit Rechnungsanschrift: Müller, Versandanschrift: Huber. Blöderweise bekommt dann Müller eine automatische Bestätigungs- e-mail mit der Bestellung von Huber.

Wenn einer von unserer Firma im Admin-Bereich eingeloggt ist und zufällig dessen Session-ID fälschlicherweise an den nächsten Besucher weitergegeben wird, dann kann dieser nächste Besucher sogar in unseren ADMIN-Bereich.

Zum Nachweis:

Installiert mal LiveZilla
Bei diesem LiveChat Modul hat man die Möglichkeit "Mit zu Surfen"

Also man sieht was der Kunde sieht!

Dann meldet euch mal als Admin an schaut mal bei ein paar Kunden was die so anschauen.
Schnell stellt sich heraus, dass manche Kunden das Adminfeld angezeigt bekommen!!!!!

[Tomcraft]

Ihr könnt das gerne im Trunk Demoshop testen.

Grüße

Torsten

[p3e]

Hallo bin hier ganz neu aber bei viele Jahre osc und bei xtc von der ersten Stunde an dabei gewesen.
Mit meinem Shop hatte ich vor vielen Jahren auch ein (und vielleicht das gleiche) Session-Problem. Je mehr ich mich damit beschäftigte, desto häufiger schien es aufzutreten.
Es hatte eine Weile gedauert, bis ich merkte, dass die Datei "whoisonline.php" für den Fehler verantwortlich war. In unserem Fall stellten wir fest, dass es bei Benutzung dieser Funktion, in manchen Fällen den Warenkorb unseres Kunden übernahmen.
Bei genauerer Analyse der Datei zeigte sich, dass in dieser Datei die Kundenwarenkorbansicht unsauber gelöst war, denn um den Warenkorb einzusehen, nahm der Admin kurz die Session des Kunden an.
Im Downloadbereich von xtc fand ich dann eine alternative whoisonline.php, die in dem Punkt anders arbeitet.
Als ich diese Datei anstelle der originalen installierte, war das Problem behoben.

Das Problem trat auch nicht auf allen Servern auf sondern hängt wohl auch mit der Sessionverwaltung und anderen Grundeinstellungen des Servers zusammen.

Es kann jedoch auch noch ein anderes Problem sein, denn ich hatte immer nur mit dem Problem zu kämpfen, dass ich als Admin die Session mit einem Kunden tauschte. Dass zwei Kunden die Session untereinander tauschten, habe ich noch nie erlebt.
Tritt das Problem bei Euch etwa auch ohne nutzen der original whoisonline auf?

[Trucker05]

Hallo,

vielleicht kannst Du uns mal die abgeänderte whoisonline.php zur Verfügung stellen?

[p3e]

Ich denke es ist diese Datei, die hier schon angeboten wird: Anzeige im Admin bei "Wer ist Online" mit Besucher hat Warenkorb angelegt

Mein derzeit aktiver Shop ist eine stark an meine Bedürfnisse angepasste Version mit so vielen Änderungen, dass die abgeänderte whos_online.php für mich nur als Vorlage diente.
Oder anders ausgedrückt: Die unter dem Link verfügbare whos_online.php ist sicherlich zu modified eCommerce Shopsoftware kompatibler als meine Version .
Der Hinweis von Tomcraft klingt so, als wäre das Problem in der Trunk-Version bereits gelöst worden. Hat die Lösung ebenfalls mit der whos_online zu tun?

Ich hatte jedoch nie das Problem, dass die Sessions zweier Kunden vertauscht werden sondern immer "nur" die Admin-Session mit der Kunden-Session. Dieses Problem hing auch nicht mit dem Browser zusammen, sondern schien serverabhängig zu sein. Seit der neuen whos_online habe ich keine Probleme mehr feststellen können.

[DokuMan]

Ich habe von einem ähnlichen Fall gelesen und würde euch auch mal gerne "FAQ: Empfohlene Sessioneinstellungen" ans Herz legen.

[Tomcraft]

Hatten wir die Einstellungen eigentlich mittlerweile "per default" übernommen?

Grüße

Torsten

[DokuMan]

Bis jetzt in r1408 nur in "update_1.0.5.0_to_1.0.6.0.sql", nicht in der "xtcommerce.sql".

[shopmee]

Ich hab ähnliche Probleme mit der Session. Ich habe auch das Orakeln von Hasan mal ernst genommen und die session.php vom H.H.G. multistore mit modified eCommerce Shopsoftware verglichen, und mir sind da einige Sachen aufgefallen.
z.B.

Code: PHP  [Auswählen]

function _sess_read($key) {
      $qid = xtc_db_query("select value from " . TABLE_SESSIONS . " where sesskey = '" . $key . "' and expiry> '" . time() . "'");

      $value = xtc_db_fetch_array($qid);
      //if ($value['value']) {           <== ALT
      if ($value['value']!='') {         <== NEU
        return $value['value'];
      }

      return false;
    }

Hier scheinen die "normalen" xt:Commerce-Forks doch einige Schwächen zu haben. Vielleicht sollte sich da mal ein Fachmann/frau mal dran versuchen. Oder bin ich jetzt zu pingelig?