Umstellung auf HTTPS shopweit - MODsid bleibt in der URL

[Hansi73]

Hallo,

wie in dem Handbuch Punkt 9.51 beschrieben habe ich den gesamten Shop auf SSL/TLS umgestellt. Leider bleibt nun die MODsid fast immer in der URL. Gibt es einen kleinen Trick das die MODsid wie sonst beim zweiten Aufruf verschwindet?

Danke und Gruß
Hans

PS: Aktuelle Shopversion v1.06 rev 4642 SP2 inkl. Security Patch

Linkback: https://www.modified-shop.org/forum/index.php?topic=32439.0

[hbauer]

Hallo Hans

ja, das ist so, ich habe auch keinen Trick gefunden

Gruß

Hagen

[p3e]

Wieso das so ist verstehe ich trotzdem nicht, weil der im normalen Shop die Session-ID ja auch nicht dran hängt, wenn man zB. ab der Kasse die Bestellung abschließt. Irgendwas ist da falsch eingestellt.

[hbauer]

Das ist kein Einstellungsproblem sondern ein Problem im Code. Das Team kennt das Problem und wird es auch in der nächsten Version lösen

Gruß

Hagen

[Hansi73]

Hallo Hagen,

vielen Dank für die Info. Dann warten wir noch ein paar Tage bis es die neue Version mit Responsive Template gibt

[hbauer]

Hallo Hans

wenn Du konkrete Pläne hast ein Online Shop zu eröffnen dann fang damit jetzt mit der aktuellen Version an.

Ich würde meine Geschäftseröffnung nicht von der Bereitstellung der Software machen. Das habe ich vor einem Jahr gesagt und das sage ich auch heute noch.

Das Risiko das in dem Moment wo du fertig bist eine neue Version rauskommt gibt es immer. Thats Live.

Gruß

Hagen

[Fakrae]

Wenn das Problem bekannt (und "behoben") ist - lässt sich dazu sagen ob das viel Aufwand war, oder ob man das noch als Hotfix in die 1.06 einarbeiten kann? Wir wollen unseren Shop auch in 1-2 Monaten auf full-SSL umstellen.

[hbauer]

Ja es war viel Aufwand und es wird keinen Fix für 1.06 geben

Gruß

Hagen

[Hansi73]

Hallo,

es gibt eine Lösung (Danke an Hetfield):

Admin-Panel -> Erweiterte Konfiguration -> Sessions -> Cookie-Benutzung bevorzugen -> "true"

SSL Verschlüsselung

Kunden mit deaktivierten Cookies werden auf eine Fehlerseite geleitet beim Versuch etwas in den Warenkorb zu legen. Denke aber es wird fast keine Kunden mit deaktivierten Cookies geben.

[Bonsai]

Noch eine:
includes/application_top.php

Code: PHP  [Auswählen]

// set the session ID if it exists
if (isset ($_POST[session_name()])) {
  session_id($_POST[session_name()]);
}
elseif (($request_type == 'SSL') && isset ($_GET[session_name()]) && $_GET[session_name()] != $_COOKIE[session_name()]) {
  session_id($_GET[session_name()]);
}

[Hansi73]

Klasse! Das funktioniert und somit können auch Kunden mit deaktivierten Cookies einkaufen.

[TobStar]

Danke für die Lösung, wann wird das Problem denn aber dauerhaft gefixt? In der Version 2 ist er nach wie vor vorhanden und es handelt sich hierbei um eine große Sicherheitslücke.

[Alfred]

Hallo,

wenn deine Session-Id dauerhaft angezeigt wird liegt es am Webspace oder an deinen Einstellungen.
Das war schon so beim 1.06er.

Gruß

[noRiddle (revilonetz)]

Die Anleitung den kompletten Shop auf SSL laufen zu lassen gibt es hier: ANLEITUNG: Kompletter Shop über https mittels SSL geschützt

Dazu schaue mal im Backend => Hilfsprogramme => Server Info bei session.use_only_cookies.
Da sollte der "Local Value" (und bei manchen Hostern auch der "Master Value") auf 'off' stehen.
Außerdem im Backend => Erweiterte Konfiguration => Sessions bei Cookie Benutzung bevorzugen schauen, sollte auf 'false' stehen.
Wenn beides nicht so ist wie dargelegt kann die Session-ID nicht in einem Cookie gespeichert werden und sie wird folglich an die URL gehängt.

Wenn ein Kunde im Browser Cookies deaktiviert wird er die Session allerdings auch wieder an der URL hängen sehen.

Gruß,
noRiddle