id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	blockedby	blocking
1347	Session durcheinander durch MODsid in URL	anonymous	somebody	"Wir hatten ein schlimmes Erlebnis:
Ein Kunde hatte einen Link in ein Forum gepostet. In dem Link war eine MODsid enthalten (was schon ein Fehler ist, er verwendet Cookies und sollte keine MODsid in the URL stehen haben). 

Nun haben andere Kunden auf den Link geklickt und wurden in FREMDE KONTEN EINGELOGGT.

Wir konnten den Fehler wie folgt nachstellen:
- Person 1 loggt sich ein, stellt die Sprache auf deutsch um, legt etwas in den Warenkorb, loggt sich aus, wählt ein Produkt -> nun erscheint die MODsid in der URL!
- Person 2 folgt diesem Link und ist als Person 1 eingeloggt (wohlgemerkt, obwohl Person 1 AUSGELOGGT ist!!!!!)

Wir haben für uns den Fehler behelfsweise gefixt, indem wir in set_session_and_cookie_parameters ein unset($_GET[xtc_session_name()]); eingefügt haben. Aber eine tolle Lösung ist das nicht..."	Bug/Fehler	closed	hoch		Sicherheit	2.0.2.2	worksforme