id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	blockedby	blocking
1239	Doppelte Sessions durch Session in externen Links verhindern	p3e	somebody	"Schon seit os-commerce gibt es selten aber immer wieder die Probleme, dass mehr als einen Kunden die selbe Session-ID zugewiesen hat. Oft entsteht das dann, wenn auf einer externen Seite oder in einem Newsletter ein Link mit Session-ID verbreitet wurde.

Der Shop überprüft zu Anfang, ob eine Session bereits besteht. Wenn keine Session existiert, wird eine neue erzeugt. An dieser Stelle wäre eigentlich machbar, dass ebenfalls eine neue Session erzeugt wird, wenn zu einer Session-ID in der URL noch keine Daten in diese Session geschrieben wurde (z.B. noch keine Kundengruppe, also auch nicht Gast, vergeben wurde). 
Das würde einen Großteil der doppelten Sessions durch Links verhindern. Nur für den Fall, dass Kunde A (oder ein Admin) einen Kunden B einen Link schickt und der den anklickt bevor die Session beendet wurde, käme es noch zu dem Problem.
Man könnte zusätzlich noch verhindern, dass Session-IDs genutzt werden, wenn der Link einen seitenfremden Referrer aufweist."	Erweiterung	closed	normal	modified-shop-2.0.4.0	Sicherheit	2.0.2.2	fixed