FAQ: Empfohlene Sessioneinstellungen

[Trucker05]

Wie sieht's aus mit den empfohlenen Sessioneinstellungen?
Hat sich nach dem Update auf die 1.05 SP1a hier was geändert?

[web28]

Der Screenshot 2 Postings vorher sagt doch alles aus.

Die Standard Einstellungen nur ändern wenn:
A: es Probleme gibt
und
B: man weiß was man tut
und
C: sicher ist, das der Server die Funktion auch unterstützt.

[Trucker05]

@web28

Hab ich schon verstanden, jedoch hat sich mit der Sp1a ja auch was bezüglich des Session-Bugs geändert!
Frage zum Session Bug in xt:Commerce

Wir haben damals die Einstellungen geändert, da wir immer wieder Kunden hatten, die mit den Daten des Vorgängers daher kamen.
So wie ich sehe, ist die Lücke nach dem Update geschlossen und ich kann die Einstellungen wieder ändern.
Daher wollte ich wissen, ob es mit den oben angegebenen auch in der SP1 richtig wäre!

[web28]

[...] jedoch hat sich mit der Sp1a ja auch was bezüglich des Session-Bugs geändert!
[...]

Nein, da wurde nichts geändert.

Gruss Web28

[piru]

Meine Frage wurde nicht beantwortet... bitte... 

[web28]

[...]
Welche von beiden empfohlenen Einstellungen war für Kundendatenvermischung verantwortlich?
Und welche Nachteile gibt wenn ich das probiere?
[...]

Das weiß leider keiner wirklich, da diese Probleme nicht reproduzierbar nachgestellt werden können.

Wenn das gelingen würde, könnte man einen Test entwickeln, der die optimalen Einstellungen ausgeben würde.

Mein Rat:
Zuerst immer mit den Standardeinstellungen benutzen, wenn es Probleme gibt, die beiden Empfehlungen testen.

[piru]

Aber wie gesagt, ich benutze schon lange die beide Einstellungen auf "true", aber ich habe die letzte Zeit das Problem, dass ich im FF wenn ich mich einloggen möchte komme ich wieder ausgeloggt in der Login Seite, und muss ich ein paar mal den Cache leeren, den Browser zu machen, und dann geht es wieder. Sollte doch die beiden (oder nur eine) Einstellungen ändern?

Danke dir

Gruß piru

[Trucker05]

Kann ja nicht glauben, dass dieses Topprojekt hier das nicht auf die Reihe bringt!?

[voodoopupp]

Nur mal als Frage, wie ist jetzt eigentlich der aktuelle Stand in Bezug auf die Sessioneinstellungen? So wie Dokuman es im ersten Posting darstellt (Checken des User Browsers=true & Session ID erneuern=true) oder wie es dann auf dem Screenshot von web28 dargestellt wird (alle auf False)?

Grüße
Dominik

[web28]

Der Screenshot 2 Postings vorher sagt doch alles aus.

Die Standard Einstellungen nur ändern wenn:
A: es Probleme gibt
und
B: man weiß was man tut
und
C: sicher ist, das der Server die Funktion auch unterstützt.

Das ist der aktuelle Stand.

[pl1]

Ich empfehle in

/includes/functions/sessions.php

nach

Code: PHP  [Auswählen]

@ini_set("session.gc_probability", 100);

das hier einzufügen:

Code: PHP  [Auswählen]

# 20110707 pl1: keinen direkten Zugriff per Javascript auf Session-Cookie in modernen Browsern erlauben
@ini_set('session.cookie_httponly', true);
 

einzufügen.

Keine Angst, der Browser schickt das Sessioncookie bei js/ajax-Requests trotzdem an den Ursprungsserver mit zur Authentifizierung, nur dürfte es eingeschmuggeltes oder Drittanbieter-Javascript schwerer haben die Session abzuschnorcheln/zu übernehmen.

[ Für Gäste sind keine Dateianhänge sichtbar ]

[fishnet]

In der aktuellen Version 2.0.4.2 wurde hier ja ganz schön zusammengekürzt, auf "Cookie Benutzung bevorzugen" und "Session erneuern". Session erneuern ist nach Neuinstallation auf False gesetzt. Im Modified Demoshop auf True.

Diese Punkte fehlen:

Checken der SSL Session ID
Checken des User Browsers
Checken der IP Adresse

Wurden die ENTFERNT oder werden sie nur im Admin nicht mehr angezeigt? Welchen Hintergrund hat diese Änderung?

Sind nun
Cookie Benutzung bevorzugen  NEIN
Session erneuern JA

die neue Empfehlung?

[fishnet]

okay hab den Rest unter Modul Optionen gefunden.

[FräuleinGarn]

Modul Optionen? Hab ich in keinem adminreiter.

Gruß Timm

[oneQ]

Erneuern der Session und Zuweisung einer neuen Session-ID sobald sich ein Benutzer einloggt oder registriert (PHP >=4.1 needed). (Standard "false")

ACHTUNG: Diese Funktion kann eventuell die Funktionsfähigkeit des Shops beeinflussen. Bitte nur ändern, wenn man sich über die möglichen Folgen im Klaren ist und der Server diese Funktion auch wirklich unterstützt!

Die Empfehlung ist ja "true". Die meisten Server dürften PHP >4.1 sein. Gibt es sonst noch Fallstricke bei den Servern? Wie kann ich das überprüfen?