Current time: 11-28-2024, 06:07 AM Hello There, Guest! (LoginRegister)


Post Reply 
session.use_trans_sid aktivieren
Author Message
Foggy Offline
Junior Member
*

Posts: 52
Joined: Feb 2009
Reputation: 0
Post: #1
session.use_trans_sid aktivieren
Hallo zusammen

Ich weiss, das ist ein Sicherheitsrisiko.
Leider muss ich das für eine meiner Webseiten aktivieren da ich darauf den SwfUpload verwende. Leider kann der SwfUplaod keine Cookies vom Browser auslesen um damit die Session des Browsers zu übernehmen. Und da ich die Rechte für einen Upload prüfen muss, brauche ich zwingend die aktuelle Session.
Soweit so gut, die zwei Möglichkeiten die ich habe sind:
SwfUpload die Login Daten mitgeben und sich in Flash erneut anmelden => sehr aufwändig
Session ID in der URL erlauben und diese als Post Parameter vom SwfUpload aus übergeben => Sicherheitsrisiko aber schnell umsetzbar (dachte ich zumindest)

Nun hab ich aber enorm Probleme dem IspCP zu erlauben eine SessionID per URL zu übergeben.

Meine Momentanen Einstellungen die so leider nicht funktioneren:

Code:
session.auto_start    Off    Off
session.bug_compat_42    On    On
session.bug_compat_warn    On    On
session.cache_expire    180    180
session.cache_limiter    nocache    nocache
session.cookie_domain    no value    no value
session.cookie_httponly    Off    Off
session.cookie_lifetime    0    0
session.cookie_path    /    /
session.cookie_secure    Off    Off
session.entropy_file    no value    no value
session.entropy_length    0    0
session.gc_divisor    100    100
session.gc_maxlifetime    1440    1440
session.gc_probability    1    1
session.hash_bits_per_character    4    4
session.hash_function    0    0
session.name    PHPSESSID    PHPSESSID
session.referer_check    no value    no value
session.save_handler    files    files
session.save_path    no value    no value
session.serialize_handler    php    php
session.use_cookies    On    On
session.use_only_cookies    Off    Off
session.use_trans_sid    1    1


Wenn ich im Browser Cookies deaktiviere, oder session.use_cookies auf 0 schalte kann ich mich gar nicht mehr einloggen, kann mir da Jemand Licht ins Dunkel bringen?

Danke und Grüsse aus der Schweiz
Foggy
(This post was last modified: 06-12-2009 07:15 PM by Foggy.)
06-12-2009 07:14 PM
Find all posts by this user Quote this message in a reply
Foggy Offline
Junior Member
*

Posts: 52
Joined: Feb 2009
Reputation: 0
Post: #2
RE: session.use_trans_sid aktivieren
Ok jetzt bin ich wirklich verwirrt, kann mir jemand erklären warum ich in phpinfo() unter session.use_trans_id bei local und master value eine 1 habe, mir mit
Code:
var_dump(ini_get('session.use_trans_id'));
string(0) ""
ausgegeben wird?
Gibts da irgendwelche Restriktionen unter IspCP das der Wert nicht geändert werden darf?
In der Master php.ini frisst er die Einstellung, das möchte ich aber um jeden Preis vermeiden...
Ich komm einfach nicht dahinter wie und wo die Einstellung aus der Domain php.ini wieder überschrieben wird, geschweige denn wieso ini_get sagt use_trans_sid sei auf null und phpinfo im selben Script das Gegenteil behauptet...

Hatte das Problem noch niemand? Weil über die Suche hab ich null komma gar nix in die Richtung gefunden...
(This post was last modified: 06-12-2009 11:08 PM by Foggy.)
06-12-2009 10:13 PM
Find all posts by this user Quote this message in a reply
Foggy Offline
Junior Member
*

Posts: 52
Joined: Feb 2009
Reputation: 0
Post: #3
RE: session.use_trans_sid aktivieren
Ist meine Frage schlecht gestellt oder will mir niemand helfen?
06-15-2009 02:57 PM
Find all posts by this user Quote this message in a reply
Kotty Offline
Junior Member
*

Posts: 167
Joined: Mar 2008
Reputation: 3
Post: #4
RE: session.use_trans_sid aktivieren
Kann es evtl. ein Problem mit php als cgi modul sein? sowas hatte ich schon mal bei WWW-Authenticate: Basic
06-15-2009 10:34 PM
Find all posts by this user Quote this message in a reply
Foggy Offline
Junior Member
*

Posts: 52
Joined: Feb 2009
Reputation: 0
Post: #5
RE: session.use_trans_sid aktivieren
Kann sein, ich weiss es ja nicht, deswegen frag ich ja Smile
Ich dachte halt das ist hier vielleicht schon mal jemandem aufgefallen.

Am verwirrendsten fand ich halt die unterschiedlichen Ausgaben von ini_get und phpinfo im selben Script:
PHP Code:
var_dump(ini_get('session.use_trans_sid'));
phpinfo(); 
Wär natürlich erste Sahne wenn jemand testweise bei seinem System ausprobieren könnte die session.use_trans_sid in der Domain php.ini auf eins zu setzen und anschliessend den Zweizeiler von oben ausführen würde.
Nur um zu sehen obs halt wirklich an den Configs von IspCP liegt oder doch vielleicht sonst irgendwo...

Übrigens besten Dank für die Antwort Kotty Wink
(This post was last modified: 06-16-2009 12:29 AM by Foggy.)
06-16-2009 12:28 AM
Find all posts by this user Quote this message in a reply
Kotty Offline
Junior Member
*

Posts: 167
Joined: Mar 2008
Reputation: 3
Post: #6
RE: session.use_trans_sid aktivieren
Bei mir stehts in der phpinfo sowie beim var_dump auf 1 Smile
06-17-2009 06:33 PM
Find all posts by this user Quote this message in a reply
Foggy Offline
Junior Member
*

Posts: 52
Joined: Feb 2009
Reputation: 0
Post: #7
RE: session.use_trans_sid aktivieren
Kosmisch, auf jeden Fall ein dickes Dankeschön für den Test und die Zeit die du für mich aufgewendet hast...
Ich probier einfach mal weiter rum...
06-17-2009 09:56 PM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)