Force_sid in https-Umgebung

amamiro · October 2, 2014, 10:59pm

Hallo,

wir haben gerade einen neuen OXID-Shop frisch in der CE-Version 4.9.0 installiert. Der gesamte Shop soll in einer https-Umgebung laufen. Das klappt im Grunde auch, allerdings werden die URLs jetzt so ausgegeben:

https://domain/index.php?force_sid=mhlocdkcqau27mctqqk5blp0i6&

oder auch

https://domain/Angebote/?force_sid=mhlocdkcqau27mctqqk5blp0i6

Ich habe mich schon durch diverse Foren gewühlt, aber keine Lösung gefunden. In der config.inc.php steht die blForceSessionStart auf false, der Punkt “Kunden müssen der Verwendung von Cookies zustimmen” ist nicht angehakt, und bis auf minimale Template-Anpassungen und “normale” Einstellungen wie z.B. Währungen oder Versandkosten bin ich von der Grund-Installation auch noch nicht abgewichen.

Was kann ich tun, um die force_sid los zu werden?

Besten Dank im Voraus!

marco.steinhaeuser · October 3, 2014, 12:35am

Hallo amamiro,

passiert das nur unter https? Wird dieser Parameter sofort beim Aufruf des Shops ausgegeben, auch wenn noch keine formularbasierte Aktion ausgeführt wurde?

Gruß

amamiro · October 3, 2014, 4:29pm

Hallo,

ja, das passiert sofort und bei jedem Aufruf. Reine http-Aufrufe lassen wir aktuell gar nicht zu, d.h. die gehen ins “Leere”, insofern kann ich das gerade nicht testen (wird noch umgestellt). Ich erinnere mich aber an keine force_sid in der Adresszeile, bevor wir umgestellt haben, insofern würde ich sagen: Ja, das taucht nur bei https-Aufrufen auf.

Viele Grüße!

martin.wegele · October 6, 2014, 9:50am

Das könnte evtl. mit dieser Änderung zusammenhängen: https://bugs.oxid-esales.com/view.php?id=5809 -> https://github.com/OXID-eSales/oxideshop_ce/blame/v4.9.0/source/core/oxutilsurl.php#L454
Wie sehen denn die URL-Parameter in der config.inc.php aus?

amamiro · October 6, 2014, 9:57am

Hallo,

der Tipp mit der config.inc.php war perfekt: Ich habe dort die $this->sSSLShopURL eingetragen, und nun taucht kein force_sid-Parameter mehr auf.

Tausend Dank!