Session Cookies

[Netsurfer]

Wie sieht es eigentlich mit diesem Ticket hier aus?

Vor 4 Jahren er?ffnet und seit 2 Jahren in der Versenkung verschwunden!?

 

Aber die Sessioneinstellungen sollten aus der f?r das Froxlor Panel verwendeten php.ini kommen, und dem Admin auch erm?glichen (nur) Cookies f?r die Session zu verwenden.

Sonst wird ja auch bei jeder Gelegenheit (zu Recht) auf die Sicherheit hingewiesen. Und ausgerechnet Froxlor selber "beachtet" sie an elementarer Stelle nicht - passt irgendwie nicht zusammen.

[d00p]

Was willst du mit der Frage "wie sieht es damit aus" denn beantwortet haben? Ob das noch gemacht wird? Mit Sicherheit, mit der alten Codebasis: wohl eher nicht

 

Und ich verstehe auch nicht was du da jetzt f?r Sicherheitsbedenken hast...ist genauso sicher wie eine andere Art des Session-Handlings...

[Netsurfer]

Hi d00p,

 

ja ich wollte wissen, ob das noch umgesetzt wird. Ist ja schon etwas ?lter ... !

Ich hab' mir das auch mal angeguckt. Im Prinzip ist ja das Session Handling von PHP (und trans_sid wenn der User keine Cookies akzeptiert) nachgebaut worden.

AFAIS sollte sich das auch mit der aktuellen Codebasis ?ndern lassen.

 

Eine Session-Id in der URL ist noch nie sicher gewesen, und selbst wenn, ist es zumindest ?u?erst "unsch?n".

 

Wenn man anstelle des eigenen Session Handlings das ganze PHP selber ?berl?sst, dann w?rde u.a. auch der DB Zugriff wegfallen.

Die Frage ist, ob man eine entsprechende Konfigurationseinstellung in Froxlor mit aufnimmt, wo der Admin einstellen kann, dass bspw. ein Zugriff nur per Cookie erfolgen kann?

 

Ansonsten in der init.php, index.php, admin_index.php, customer_index.php, function.redirectTo.php und der class.linker.php ein paar ?nderungen vornehmen, und schon l?uft's ... !

[d00p]

Pull-requests are welcome....