Gäste sind plötzlich Administratoren

[HeHa]

HILFE:
Nachdem mein Modified-Shop auf SSL-Verschlüsselung umgestellt wurde sind manche Gäste (ohne Account) automatisch Admins und können dadurch das kpl. Shop-System einsehen und ändern. Brauche schnelle Hilfe, wie ich das verhindern kann.


Linkback: https://www.modified-shop.org/forum/index.php?topic=31199.0

[awids]

Erstmal alle Schritte rückgängig machen, dann hier vorstellen, was du gemacht hast, um den Shop umzustellen, damit wir dich auf Fehler aufmerksam machen können. Klingt aber so, als würde diesen Kunden deine Admin-Session übergeben werden.

[HeHa]

Erst mal einen ganz herzlichen Dank für die schnelle Antwort. Ich habe jetzt die SSL-Verschlüsselung wieder rückgängig gemacht: In der "configure.php" habe ich die Zeile "define('HTTP_SERVER', 'https://heikes-handgewebtes.de');" in "define('HTTP_SERVER', 'http://heikes-handgewebtes.de');" wieder zurück geändert und das Problem war beseitigt. Kannst Du mir jetzt bitte noch weiter helfen, wie ich die SSL-Verschlüsselung korrekt aktivieren kann? Wäre Dir mehr als nur dankbar.

[HeHa]

Neuigkeiten zu meiner Anfrage, die evtl. von Interesse sein könnten: Die SSL-Verschlüsselung war nur indirekt das Problem. Nach langem Suchen haben wir folgendes Thema (Kunde bekommt Adminzugang durch Produktlink) gefunden. Hier wurde das gleiche Problem behandelt und ich habe jetzt in meinem Shop zum einen die SSL-Verschlüsselung wieder gemacht; weiterhin habe die wie in dem o. g. Beitrag angesprochen in der "Erweiterten Konfiguration" das "Checken der IP" auf "true" gesetzt.
Natürlich habe ich trotzdem noch eine Frage: Auf Cookies habe ich verzichtet, da viele Browser diese nicht mehr mögen. Erste Tests haben ergeben, dass dadurch mein Problem mit aktiver SSL-Verschlüsselung behoben ist. Wie seht Ihr das in Bezug auf Cookies und IP-Überprüfung, zumal ja die Handy-Shopper immer wichtiger werden?

[Matt]

Auf Cookies habe ich verzichtet, da viele Browser diese nicht mehr mögen.

Das ist ein Gerücht.

Irgendwas ist auch faul mit deinen Session-Einstellungen. Ich bekomme erstmal zwei verschiedene IDs bevor die Session aus der URL verschwindet. Und wenn die Session aus der URL verschwindet nutzt du ja doch Cookies.

[Guenter59]

Auf Cookies habe ich verzichtet, da viele Browser diese nicht mehr mögen.

Die Browser versuchen das umzusetzen, was die Nutzer wünschen. Und viele Nutzer mögen keine Cookies.
Leider können Nutzer ( in der Regel ) nicht zwischen Session-Cookies und permanenten Cookies unterscheiden, aber das lernen sie bestimmt auch noch.
Ich kann als Nutzer auch gut auf die permanenten Cookies verzichten und auf ' personalisierte ' Werbung erst Recht.

Greetz
GMS