Hallo,

eigentlich funktionierte der Login und das Schreiben von Sessions auf meiner HP schon. Jetzt habe ich ein Upgrade von 4.3.6 auf PHP 4.3.10 machen müssen (weil mein Arbeitgeber auch auf 4.3.10 gegangen ist).

Seitdem beoabachte ich ein verändertes Verhalten. Dazu noch kurz geschildert, wie der Aufbau der Seite ist. Die Seite besteht aus statischen HTML-Anteilen, die bei puretec gehostet sind und PHP-Anteilen, die auf einem eigenen Server liegen (die Gründe für diese Trennung seien hier mal nebensächlich).

Wenn man jetzt von den HTML-Anteilen kommend auf den Kundenbereich auf dem eigenen Server (nennen wir ihn hugo) wechsel und sich einloggt, dann kann man im Kundenbereich beliebig rumsurfen und die Session, die beim Einloggen angelegt wurde, wird beibehalten.
Wenn man nun zurück auf die statischen Anteile surft, die natürlich auch unter einer anderen URL, sprich Domain, zu erreichen sind, und dann wieder zum Kundenbereich wechselt, wird man erneut zum Login aufgefordert. Die Session wurde offensichtlich vergessen.

Das war vor dem Update anders. Da konnte ich zwischen den beiden Anteilen beliebig hin- und herwechseln und die Session blieb immer erhalten.

Ist hier vielleicht eine Änderung in der Verwaltung von Sessions in der Version 4.3.10 gegenüber der Version 4.3.6 gemacht worden?

Wenn jemand einen Tipp hat, wäre ich sehr dankbar dafür!

Viele Grüße,
Ole

PS: Ich sollte noch dazu erwähnen, dass ich Session-Cookies verwende, wenn der Client-Browser diese denn akzeptiert. Ansonsten nutze ich session_use_transid = 1 als Fallback.

Mister Ad

axo

puh... da hat dann wohl endlich jemand bei php eine massive sicherheitslücke geschlossen.

dass die session ungültig wird, solltest du dringend als feature und nicht als bug betrachten.

workaround, wenn du eh cookies für die sessions benutzt:
ein 'erkenne-mich-wieder'-cookie, in dem du irgend ein hash speicherst, das du mit der user-datenbank abgleichen kannst, und das automatisch eine neue session startet, falls die alte nicht mehr gültig ist, der benutzer aber das 'erkenne-mich-wieder'-cookie hat.

Im Prinzip gebe ich Dir da natürlich recht, aber trotzdem habe ich jetzt ein Problem, mit dem ich mich rumschlagen muss...

Tja, ich nutze zwar Session-Cookies, aber leider akzeptiert der Internet Explorer ja standardmäßig keine Session-Cookies, so dass die meisten Besucher meiner Seite vermutlich nicht ein solches haben werden, sondern eben die Session-ID an die URL anhängen werden. In sofern werde ich Schwierigkeiten mit dem "erkenne-mich-wieder"-Cookie haben.

axo

also meiner meinung nach bleibt nur das zusammenführen der inhalte auf einen server.
es ist dir ja selber klar, dass das ganze nicht sauber ist, also musst du wohl in den sauren apfel beißen und dir die arbeit machten.
gib's zu: du wusstest, dass das kommen wird

Sagen wir mal so: ich habe mir gedacht, dass es so kommen muss. Das Problem ist nur, dass nicht ich, sondern mein Auftraggeber und Chef in diesen Apfel beißen muss...

Bist Du Dir denn sicher, dass es sich hier um die Abschaltung einer Sicherheitslücke handelt? In Deinem ersten Post klangst Du so, als wärst Du selbst überrascht und hast eher getippt als gewusst, dass es hier ein Bug beseitigt wurde.

Gibt es darüber vielleicht eine offzielle Doku (Bug-Liste o.ä.)? Ich muss ja schließlich was in der Hand haben für meinen Chef...

Ole

axo

sagen wir's so: ich war überrascht, dass es anscheinend bei dir mit kleineren php-versionen geklappt hat, denn das ganze sollte auf keinen fall klappen.

also: unbedingt ändern, das ganze, und es ist und bleibt gut so, dass es nicht (mehr) geht.

hast du denn schon getestet, ob das mit der session funktioniert, wenn du eine statische seite auf dem php-server benutzt? nicht, dass ihr euch die arbeit umsonst macht und das ganze eh keinen sinn macht

Ja, ich kann das bei meiner lokalen PHP-Installation ganz gut testen. Wenn ich die Seite über "http://localhost" aufrufe, dann funktioniert es nicht, weil die Links vom Kundenbereich auf die statischen Seiten in der Form "http://meinRechnerName" sind. Es ist also quasi eine andere Domain, wenn sich dahinter auch derselbe (lokale) Webserver verbirgt.

Rufe ich die Seite gleich über "http://meinRechnerName" auf, dann klappt auch das hin- und hersurfen, da ich ja dann immer in der gleichen Domain bleibe.

Gruß,
Ole

Hallo,
ich bin kein session-Experte, aber irgendwie verstehe ich eure Diskussion nicht.

Es ist doch so: wenn die session-cookies gespeichert werden, ist alles okay, und du kannst zwischendurch soviele andere Websites besuchen, wie du willst.

Wenn cookies deaktiviert sind, kann die session-id über die URL mitgegeben werden. Dies wird aber natürlich unterbrochen, wenn du auf eine neue Domain surfst. Die sid ist dann weg und du musst dich neu einloggen.

Ich wüsste also nicht, was dein Problem mit der PHP-Version zu tun haben sollte.
Mein Verdacht wäre daher eher, dass du mit dem Upgrade auch irgendetwas an der Homepage-Struktur verändert hast. Der IE6 akzeptiert z.B. keine cookies von Seiten, die sich innerhalb eines frames einer anderen Domain befinden.