+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: session.use_trans_sid aktivieren (/thread-6945.html)
session.use_trans_sid aktivieren - Foggy - 06-12-2009 07:14 PM
Hallo zusammen
Ich weiss, das ist ein Sicherheitsrisiko.
Leider muss ich das für eine meiner Webseiten aktivieren da ich darauf den SwfUpload verwende. Leider kann der SwfUplaod keine Cookies vom Browser auslesen um damit die Session des Browsers zu übernehmen. Und da ich die Rechte für einen Upload prüfen muss, brauche ich zwingend die aktuelle Session.
Soweit so gut, die zwei Möglichkeiten die ich habe sind:
SwfUpload die Login Daten mitgeben und sich in Flash erneut anmelden => sehr aufwändig
Session ID in der URL erlauben und diese als Post Parameter vom SwfUpload aus übergeben => Sicherheitsrisiko aber schnell umsetzbar (dachte ich zumindest)
Nun hab ich aber enorm Probleme dem IspCP zu erlauben eine SessionID per URL zu übergeben.
Meine Momentanen Einstellungen die so leider nicht funktioneren:
Code:
session.auto_start Off Off
session.bug_compat_42 On On
session.bug_compat_warn On On
session.cache_expire 180 180
session.cache_limiter nocache nocache
session.cookie_domain no value no value
session.cookie_httponly Off Off
session.cookie_lifetime 0 0
session.cookie_path / /
session.cookie_secure Off Off
session.entropy_file no value no value
session.entropy_length 0 0
session.gc_divisor 100 100
session.gc_maxlifetime 1440 1440
session.gc_probability 1 1
session.hash_bits_per_character 4 4
session.hash_function 0 0
session.name PHPSESSID PHPSESSID
session.referer_check no value no value
session.save_handler files files
session.save_path no value no value
session.serialize_handler php php
session.use_cookies On On
session.use_only_cookies Off Off
session.use_trans_sid 1 1Wenn ich im Browser Cookies deaktiviere, oder session.use_cookies auf 0 schalte kann ich mich gar nicht mehr einloggen, kann mir da Jemand Licht ins Dunkel bringen?
Danke und Grüsse aus der Schweiz
Foggy
RE: session.use_trans_sid aktivieren - Foggy - 06-12-2009 10:13 PM
Ok jetzt bin ich wirklich verwirrt, kann mir jemand erklären warum ich in phpinfo() unter session.use_trans_id bei local und master value eine 1 habe, mir mit
Code:
var_dump(ini_get('session.use_trans_id'));ausgegeben wird?
Gibts da irgendwelche Restriktionen unter IspCP das der Wert nicht geändert werden darf?
In der Master php.ini frisst er die Einstellung, das möchte ich aber um jeden Preis vermeiden...
Ich komm einfach nicht dahinter wie und wo die Einstellung aus der Domain php.ini wieder überschrieben wird, geschweige denn wieso ini_get sagt use_trans_sid sei auf null und phpinfo im selben Script das Gegenteil behauptet...
Hatte das Problem noch niemand? Weil über die Suche hab ich null komma gar nix in die Richtung gefunden...
RE: session.use_trans_sid aktivieren - Foggy - 06-15-2009 02:57 PM
Ist meine Frage schlecht gestellt oder will mir niemand helfen?
RE: session.use_trans_sid aktivieren - Kotty - 06-15-2009 10:34 PM
Kann es evtl. ein Problem mit php als cgi modul sein? sowas hatte ich schon mal bei WWW-Authenticate: Basic
RE: session.use_trans_sid aktivieren - Foggy - 06-16-2009 12:28 AM
Kann sein, ich weiss es ja nicht, deswegen frag ich ja
Ich dachte halt das ist hier vielleicht schon mal jemandem aufgefallen.
Am verwirrendsten fand ich halt die unterschiedlichen Ausgaben von ini_get und phpinfo im selben Script:
PHP Code:
var_dump(ini_get('session.use_trans_sid'));
phpinfo();
Nur um zu sehen obs halt wirklich an den Configs von IspCP liegt oder doch vielleicht sonst irgendwo...
Übrigens besten Dank für die Antwort Kotty
RE: session.use_trans_sid aktivieren - Kotty - 06-17-2009 06:33 PM
Bei mir stehts in der phpinfo sowie beim var_dump auf 1
RE: session.use_trans_sid aktivieren - Foggy - 06-17-2009 09:56 PM
Kosmisch, auf jeden Fall ein dickes Dankeschön für den Test und die Zeit die du für mich aufgewendet hast...
Ich probier einfach mal weiter rum...