Session durcheinander durch MODsid in URL

[anonymous]

Wir hatten ein schlimmes Erlebnis:
Ein Kunde hatte einen Link in ein Forum gepostet. In dem Link war eine MODsid enthalten (was schon ein Fehler ist, er verwendet Cookies und sollte keine MODsid in the URL stehen haben).

Nun haben andere Kunden auf den Link geklickt und wurden in FREMDE KONTEN EINGELOGGT.

Wir konnten den Fehler wie folgt nachstellen:

• Person 1 loggt sich ein, stellt die Sprache auf deutsch um, legt etwas in den Warenkorb, loggt sich aus, wählt ein Produkt -> nun erscheint die MODsid in der URL!
• Person 2 folgt diesem Link und ist als Person 1 eingeloggt (wohlgemerkt, obwohl Person 1 AUSGELOGGT ist!!!!!)

Wir haben für uns den Fehler behelfsweise gefixt, indem wir in set_session_and_cookie_parameters ein unset($_GET[xtc_session_name()]); eingefügt haben. Aber eine tolle Lösung ist das nicht...

[Volker Strähle]

Ich bekomme das nicht reproduziert. Da muss es noch mehr an Infos geben (Server, PHP-Version, Einstellungen, Module,...). Mit dem Abmelden wird die Session sogar aus der DB-Tabelle sessions gelöscht.

???

[anonymous]

Im Demoshop konnte ich das gerade nachvollziehen:

1. im Admin auf xtc umstellen.
2. Dann Testartikel in den Warenkorb legen
3. Abmelden
4. Sprache ändern
5. Produkt in Warenkorb legen
6. Link anschauen/kopieren

Das tritt nicht immer auf!

Aber wenn man "schnell genug" bei Punkt 5 auf die URL schaut, sieht man kurz das MODsid aufblitzen.
Manchmal bleibt es aber stehen und das führte zu dem geschilderten Problem.

[Gerhard Waldemair]

ich kann das einfach nicht nachstellen, egal wie oft ich das probiere.

[Torsten Riemer]

Viele Session-Fehler werde verursacht durch hardcodierte Links in verbastelten Templates oder per Content Manager gesetzten internen Links in früheren Shopversionen.

Ab Shopversion 2.0.1.0 wird geprüft, ob die Session überhaupt noch gültig ist und ggf. beendet, daher muss der Fehler aus dem Template oder von einer unsauberen Modifikation am Shop kommen.