Hallo,
seit kurzem haben wir das Phänomen, dass Kunden - nur in Google Chrome - die Session-Variablen / Warenkorb verlieren, wenn sie von einer SSL-Verschlüsselten Seite auf eine HTTP Seite zurückkommen.
Auffällig finde ich da auch, dass mal der Parameter force_sid vorhanden und mal nicht ist.
Ich habe nun bereits einige mögliche PHP Flags geprüft, u.a. auch die Systemgesundheit. Dort sieht alles gut aus, lediglich bei unseren Testsystemen ist Zend nicht korrekt (gelb) aber das scheint das Problem nicht auszulösen, dann im Live-Shop ist alles grün.
Auch die Module habe ich alle mal an und wieder ausgemacht. Ohne Erfolg.
Systemumgebung ist ein Oxid EE 4.6.5 auf einem Ubuntu 12.10 mit
[I]PHP 5.3.10-1ubuntu3.5 with Suhosin-Patch (cli) (built: Jan 18 2013 23:45:59)
Copyright © 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright © 1998-2012 Zend Technologies
with the ionCube PHP Loader v4.0.14, Copyright © 2002-2011, by ionCube Ltd., and
with Zend Guard Loader v3.3, Copyright © 1998-2010, by Zend Technologies[/I]
wobei beim Suhosin Patch alle Werte aus kommentiert sind …
Es handelt sich wohl um dieses Problem - weiß jemand wo ich das in Oxid asap fixen kann?
so wie ich das sehe, liegt das Problem bei Chrome
Ich hab jetzt mal im Core der oxSession.php die Methode _checkUserAgent so angepasst, dass sie immer “false” liefert - um die Prüfung auf den wechselnden User-Agent testweise zu eliminieren.
Das Problem existiert aber immer noch. Mir ist außerdem aufgefallen, dass die Cookies doppelt gesetzt sind:
Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection:Keep-Alive
Content-Type:text/html; charset=UTF-8
Date:Fri, 05 Apr 2013 07:15:46 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Keep-Alive:timeout=5, max=100
Pragma:no-cache
Server:Apache/2.2.22 (Unix) PHP/5.3.14 mod_ssl/2.2.22 OpenSSL/0.9.8o
Set-Cookie:ZDEDebuggerPresent=php,phtml,php3; path=/
[B]Set-Cookie:language=0; path=/; httponly
Set-Cookie:sid=mi1ob8tj32b4el5t32r14filq4; path=/; httponly
Set-Cookie:sid=db9761jq5ibdrkudqvd0a358e5; path=/; httponly
Set-Cookie:language=0; path=/; httponly[/B]
Transfer-Encoding:chunked
X-Powered-By:PHP/5.3.14 ZendServer/5.0
Dazu sagt ietf:
RFC2109: If an attribute appears more than once in a cookie, the behavior is undefined.
Ich vermute ja die ganze Zeit, dass es ein Applikationsfehler wegen eines Chrome Updates ist. Beim IE gibt es ja ähnliche Probleme und die Themen httponly und secure sind auch relativ “mutig” umgesetzt in oxid.
Hat jemand noch eine Idee?
Ich hatte ähnliche Probleme in einer weitaus älteren Oxid Version. Force Session ID in der config.inc.php hatte damals das Problem in allen gängigen Browsern gefixt.
Wir verwenden natürlich forceSessionID, überhaupt habe ich alle config-Flags zu dem Thema schon durch und bin mittlerweile mit Breakpoints im Source-Code angelangt …
Im Februar wurde der Bug mit den doppelten Cookies von mhaupt bereits gemeldet:
https://bugs.oxid-esales.com/view.php?id=4959
Wenn man [B]genau[/B] liest, schreibt er auch:
This behaviour was also reproduceable in in version 4.7.3 too.
Oxid hat ihn binnen drei Stunden als resolved/duplicate markiert:
https://bugs.oxid-esales.com/view.php?id=4011
Die Lösung lautet:
Thanks for your feedback about the issue. We checked the case and looks like it’s quite complicated. The regeneration of session ID is implemented for security purposes. So when you click Back on browser, after the form is submited, it tries to get user back to previous page WITH previous session. That’s leads to such cases as described.
One of possible solutions would be implementing the PRG pattern in eShop entirely, for all the forms. but that is also related with data handling during the order in various circumstances. So we tend to go for more general solution for entire shop.
We included this task to our backlog, to solve that kind of issues in one of further version releases. [B]Entry here is closed.[/B]
Best regards,
Hallo bin auch relativ neu hier und habe einähnliches Problem.
Seit heute morgen sind wir PresentationLoad.de auf die ee 5.04 umgestiegen.
Folgendes musste ich feststellen. Das Shop jedesmal bei der Anmeldung danach klick auf irgend eine Seite eine neu Session generiert. Also insgesamt immer 2. wir haben insgesamt 4 Domains. PresentationLoad.de PresentationLoad.fr PresentationLoad.com und PresentationLoad.es in der config.inc ist die Standard SQL URL eingetragen für die Standardsprache de (ssl.pesentationload.de) im admin jeweils zu den sprachen.
Alles mögliche schon ausprobiert. Nicht hilft. Logge ich mich ein, und folge irgendeinen weitere link Log der Shop mich wieder aus. Ohne ssl funktioniert soweit alles Super und und auch die Domain presentationload.fr.
Kann es sein das die urls gleich sein sollen?
De = https://ssl.presentationload.de
Ein = https://ssl.presentationload.com
Es = https://ssl.presentationload.es
Fr = https://www.presentationload.fr
Sorry für das vertippen bin gerade unterwegs mit dem ipad
Hallo Alex am iPaid,
ich kann grad das Problem nicht richtig verstehen: Der Benutzer ist an einer Domain (z.B. an der .fr) und bekommt auf einer anderen Domain (z.B. .com) eine neue Session, ist das der Punkt?
Gruß