seit ich vor ein paar Tagen mein Board von http:// auf https:// umgestellt habe, klagen Benutzer darüber, dass sie nicht wie früher dauerhaft angemeldet bleiben können.
Ich weiß inzwischen, dass die Benutzer, die dauerhaft angemeldet bleiben wollen, nach der Umstellung einmal die Cookies löschen müssen und sich dann neu einloggen müssen.
Die User berichten aber von wiederholten Problemen.
Die Cookie-Einstellungen im ACP habe ich gegenüber früher nur an einer Stelle ("Sicherer Server...", s.u.) geändert. Einstellungen jetzt:
Cookie-Domain: .meinedomain.de
Cookie-Pfad: /phpbb
Sicherer Server: x aktiviert
In der htaccess ist eine 301-Umleitung auf die https:// Domain, die auch funktioniert.
Cookie-Pfad auf die Domain (ohne Verzeichnis) hatte zur Folge, dass sich niemand mehr anmelden konnte - auch ich selbst nicht, konnte ich über die DB in der config-Tabelle retten.
Woran könnte es noch liegen?
Ich habe ganz leichte Zweifel, ob wirklich alle Leute mit Problemen die Cookies gelöscht haben. Dazu:
- Muss ich im ACP ganz vorn eigentlich auch "Sitzungsdaten löschen"? Ich hatte das immer nur auf die momentan aktiven Nutzer bezogen, aber vom Wortlaut her könnte natürlich auch jemand mit Langzeit-Cookie in der zu leerenden "Sitzungsdatentabelle" enthalten sein.
Oder gibt es eine andere Möglichkeit, wie ich serverseitig die gesetzten Cookies löschen kann, um sicherzustellen, dass bei den Leuten mit den Problemen auch wirklich keine alten Cookies mehr im Spiel sind?
Den Cookie-Namen ändern? - Oder sind evtl. die Browser kritischer, wenn eine https-Seite einen dauerhaften Cookie erstellt als bei einer vergleichbaren http-Seite?