session.use_trans_sid aktivieren

[Foggy]

Hallo zusammen

Ich weiss, das ist ein Sicherheitsrisiko.
Leider muss ich das für eine meiner Webseiten aktivieren da ich darauf den SwfUpload verwende. Leider kann der SwfUplaod keine Cookies vom Browser auslesen um damit die Session des Browsers zu übernehmen. Und da ich die Rechte für einen Upload prüfen muss, brauche ich zwingend die aktuelle Session.
Soweit so gut, die zwei Möglichkeiten die ich habe sind:
SwfUpload die Login Daten mitgeben und sich in Flash erneut anmelden => sehr aufwändig
Session ID in der URL erlauben und diese als Post Parameter vom SwfUpload aus übergeben => Sicherheitsrisiko aber schnell umsetzbar (dachte ich zumindest)

Nun hab ich aber enorm Probleme dem IspCP zu erlauben eine SessionID per URL zu übergeben.

Meine Momentanen Einstellungen die so leider nicht funktioneren:

Code:

session.auto_start    Off    Off
session.bug_compat_42    On    On
session.bug_compat_warn    On    On
session.cache_expire    180    180
session.cache_limiter    nocache    nocache
session.cookie_domain    no value    no value
session.cookie_httponly    Off    Off
session.cookie_lifetime    0    0
session.cookie_path    /    /
session.cookie_secure    Off    Off
session.entropy_file    no value    no value
session.entropy_length    0    0
session.gc_divisor    100    100
session.gc_maxlifetime    1440    1440
session.gc_probability    1    1
session.hash_bits_per_character    4    4
session.hash_function    0    0
session.name    PHPSESSID    PHPSESSID
session.referer_check    no value    no value
session.save_handler    files    files
session.save_path    no value    no value
session.serialize_handler    php    php
session.use_cookies    On    On
session.use_only_cookies    Off    Off
session.use_trans_sid    1    1

Wenn ich im Browser Cookies deaktiviere, oder session.use_cookies auf 0 schalte kann ich mich gar nicht mehr einloggen, kann mir da Jemand Licht ins Dunkel bringen?

Danke und Grüsse aus der Schweiz
Foggy

[Foggy]

Ok jetzt bin ich wirklich verwirrt, kann mir jemand erklären warum ich in phpinfo() unter session.use_trans_id bei local und master value eine 1 habe, mir mit

Code:

var_dump(ini_get('session.use_trans_id'));

string(0) ""
ausgegeben wird?
Gibts da irgendwelche Restriktionen unter IspCP das der Wert nicht geändert werden darf?

---

In der Master php.ini frisst er die Einstellung, das möchte ich aber um jeden Preis vermeiden...
Ich komm einfach nicht dahinter wie und wo die Einstellung aus der Domain php.ini wieder überschrieben wird, geschweige denn wieso ini_get sagt use_trans_sid sei auf null und phpinfo im selben Script das Gegenteil behauptet...

Hatte das Problem noch niemand? Weil über die Suche hab ich null komma gar nix in die Richtung gefunden...

[Foggy]

Ist meine Frage schlecht gestellt oder will mir niemand helfen?

[Kotty]

Kann es evtl. ein Problem mit php als cgi modul sein? sowas hatte ich schon mal bei WWW-Authenticate: Basic

[Foggy]

Kann sein, ich weiss es ja nicht, deswegen frag ich ja
Ich dachte halt das ist hier vielleicht schon mal jemandem aufgefallen.

Am verwirrendsten fand ich halt die unterschiedlichen Ausgaben von ini_get und phpinfo im selben Script:

PHP Code:

var_dump(ini_get('session.use_trans_sid'));
phpinfo(); 


Wär natürlich erste Sahne wenn jemand testweise bei seinem System ausprobieren könnte die session.use_trans_sid in der Domain php.ini auf eins zu setzen und anschliessend den Zweizeiler von oben ausführen würde.
Nur um zu sehen obs halt wirklich an den Configs von IspCP liegt oder doch vielleicht sonst irgendwo...

Übrigens besten Dank für die Antwort Kotty

[Kotty]

Bei mir stehts in der phpinfo sowie beim var_dump auf 1

[Foggy]

Kosmisch, auf jeden Fall ein dickes Dankeschön für den Test und die Zeit die du für mich aufgewendet hast...
Ich probier einfach mal weiter rum...