Kleffmann Posted February 15, 2004 Report Share Posted February 15, 2004 Die Sessionsprobleme bei Strato lassen sich beheben, wenn in der configure.php sowohl im Verzeichniss /admin/includes, als auch im Verzeichniss /includes der Pfad f?r store sessions von /temp auf den absoluten Pfad des Servers ge?ndert wird. Voraussetzung ist ein angelegtes Unterverzeichnis /temp zur Speicherung der Sessions. Danach funktioniert der Shop auch bei Strato einwandfrei. Link to comment Share on other sites More sharing options...
Hubi Posted February 16, 2004 Report Share Posted February 16, 2004 Daf?r k?nnte aber u.U. "jeder" Deine Sessions sehen. Die sind nicht umsonst normalerweise ausserhalb des Webserververzeichnises. Das w?re zwar ne L?sung zum testen und ausprobieren, aber eine Produktiv-Seite w?rde ich so nicht machen. Link to comment Share on other sites More sharing options...
mzanier Posted February 16, 2004 Report Share Posted February 16, 2004 und wenn jemand die sessions sehen kann, dann kann man auch session hijacking betreiben. d.h. ich guck nach welche sessions im verzeichnis sind, und log mich dann einfach mit der session auf der seite an, solange bis ich die admin session erwisch. Link to comment Share on other sites More sharing options...
yogi Posted February 16, 2004 Report Share Posted February 16, 2004 Nochmal ne Kleinigkeit zu Strato: Das allgemeine /tmp Verzeichnis ist f?r jeden Strato Kunden einsehbar. Die meisten Sessions werden mit den Rechten 600 angelegt, so dass normalerweise nur der Besitzer der Session (in diesem Fall die User Nummer des Domaininhabers) die Session lesen kann. Bei manchen Skripten werden offensichtlich die Rechte der Session auf 755 gesetzt. Somit kann jeder Strato Kunde die Sessions im Klartext lesen. Ihr solltet mal sehen, was sich da alles im /tmp Ordner tummelt (config_db.inc Files mit Zugangsdaten zur mysql Datenbank, sonstige Passwort Dateien usw. - hab ich grad nachgesehen - sind schon wieder einige drin :wall: ) Ein Traum f?r jeden, der Schaden anrichten m?chte. Also vergesst das /tmp Verzeichnis oder achtet drauf, dass die Sessions mit den Rechten 600 angelegt werden. (Wobei das /tmp Verzeichnis bei Strato sowieso nicht mit XTC funzt) Wenn ihr im Webserver Pfad ein tempor?res Verzeichnis anlegt, dann solltet ihr das Verzeichnis auf keinen Fall tmp, temp oder ?hnliches nennen. Es gibt ja auch die M?glichkeit ein Verzeichnis auemcjd_123987_asbchd zu nennen, das findet ein anderer nicht so leicht. Auf jeden Fall auch ?berpr?fen, dass die Rechte der Session auf 600 sind. Bessere L?sung: anderer Provider @Kleffmann Danach funktioniert der Shop auch bei Strato einwandfrei. Ob man die Geschwindigkeit einwandfrei nennen kann bezweifle ich. Du hast wahrscheinlich noch nie einen schnellen Provider genossen. Und ich verspreche dir - deine zuk?nftigen Kunden sind sp?testens nach zwei Klicks wieder weg von deinem Shop, weil sie glauben du w?rst offline Link to comment Share on other sites More sharing options...
Kleffmann Posted February 16, 2004 Author Report Share Posted February 16, 2004 Ich sprach davon, da? der Shop bei Strato einwandfrei funktioniert, ?ber Geschwindigkeit habe ich nichts gesagt - ich bin kein Fan von Strato. Im Forum waren aber Nachfragen diesbez?glich - und dies kann eine L?sung sein Das Verzeichnis kann man ?brigens nennen und installieren wo man will, Hautsache der Pfad ist absolut. Link to comment Share on other sites More sharing options...
mzanier Posted February 16, 2004 Report Share Posted February 16, 2004 Das Verzeichnis kann man ?brigens nennen und installieren wo man will, Hautsache der Pfad ist absolut. ja, aber diese l?sung w?rde ich keinen Shopinhaber raten, da dies m?glicherweise fahrl?ssig sein kann. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.