Ich habe jetzt testweise ein neues phpBB-Board installiert. Dabei habe ich das neueste Paket heruntergeladen. Die Version ist die 3.3.7
Mir ist aufgefallen, dass phpBB bei jedem Seitenaufruf die Session-ID an die URL anhängt. Das darf natürlich nicht sein.
Es wird zwar ein Session-Cookie angelegt. Aber es wird anscheinend nicht verwendet. Wenn ich die sid aus der URL lösche, ist auch die Session weg.
Egal, was ich bei den Cookie-Einstellungen angebe, die sid bleibt...
Die Domain ist eine Subdomain mit einem Lets Encrypt Zertifikat. Der Zugriff ist nur über SSL möglich.
Domain: forum.domain.de
folgendes habe ich versucht:
Cookie Domain: (Cookie-Domain) .domain.de
Cookie Name: ( Cookie-Name) phpbb3_session
Cookie Path: (Cookie-Pfad) /
Cookie Secure (Sicherer Server): ja
Force Server Vars false
Script Path: (Scriptpfad) /
Server Name: (Domain-Name) forum.domain.de
Server Port: (Server-Port) 443
Server Protocol: (Server-Protokoll) https://
Damit sollten die Cookie-Settings eigentlich passen. Ist das ein Bug in de neuen Version?
[3.3] Session-ID bei jeder URL angehängt.
Forumsregeln
Bitte im Thementitel den Präfix deiner phpBB-Version angeben
Bitte im Thementitel den Präfix deiner phpBB-Version angeben
-
Mike-on-Tour
- Supporter
- Beiträge: 1278
- Registriert: 13.01.2020 21:09
- Kontaktdaten:
Re: [3.3] Session-ID bei jeder URL angehängt.
Poste doch bitte einen Link zu deinem Forum, dann können wir uns das ansehen; so ist das Glaskugel-lesen
-
morgenlicht
- Mitglied
- Beiträge: 1
- Registriert: 10.05.2022 15:37
Re: [3.3] Session-ID bei jeder URL angehängt.
Diesen Effekt kenne ich auch. Ich nutze zwar die Version von phpBB3-3.2.9, aber nur im alten Microsoft Edge 44.x (ohne chromium) kann ich das reproduzieren 
.
Ohne Anhang der SID ist's in:
• TorBrowser 10.0.14
• Palemoon 29.2.0
• Google Chrome 79.0
.Ohne Anhang der SID ist's in:
• TorBrowser 10.0.14
• Palemoon 29.2.0
• Google Chrome 79.0
Re: [3.3] Session-ID bei jeder URL angehängt.
Mein Forum ist unter der URL https://tinyurl.com/52r3627z erreichbar.
Bei mir wird die sid bei jedem Browser angehängt...
Bei mir wird die sid bei jedem Browser angehängt...
Re: [3.3] Session-ID bei jeder URL angehängt.
Also ich bin schon mal einen Schritt weiter....
Die sid wird für normale Foren-User nicht mehr angezeigt. Was aber bleibt ist, dass wenn ich in den Admin-Bereich gehe, die sid an die URL angehängt wird. Navigiere ich im Admin-Bereich, wird bei jeder URL die sid angehängt, navigiere ich dann wieder im Forum selbst, wird die sid nicht mehr angehängt....
bekommt man die sid auch für den Admin-Bereich weg, oder muss die da bleiben, weil eine zweite session verwendet wird?
Die sid wird für normale Foren-User nicht mehr angezeigt. Was aber bleibt ist, dass wenn ich in den Admin-Bereich gehe, die sid an die URL angehängt wird. Navigiere ich im Admin-Bereich, wird bei jeder URL die sid angehängt, navigiere ich dann wieder im Forum selbst, wird die sid nicht mehr angehängt....
bekommt man die sid auch für den Admin-Bereich weg, oder muss die da bleiben, weil eine zweite session verwendet wird?
Re: [3.3] Session-ID bei jeder URL angehängt.
Die im Admin-Bereich muss bleiben.
Re: [3.3] Session-ID bei jeder URL angehängt.
Warum muss die bleiben?
Die Session-ID ändert sich ja scheinbar nicht. Die angehängte ID ist identisch mit der ID im Cookie, egal ob ich im Admin-Bereich bin oder im Foren-Bereich.
Welchen Sinn hat dann die ID in der URL?
Die Session-ID ändert sich ja scheinbar nicht. Die angehängte ID ist identisch mit der ID im Cookie, egal ob ich im Admin-Bereich bin oder im Foren-Bereich.
Welchen Sinn hat dann die ID in der URL?
Re: [3.3] Session-ID bei jeder URL angehängt.
Ich formuliere es um, du kannst die SID im Administrator Bereich nicht entfernen, aber mit phpBB 4.0 wird sie nicht mehr benötigt.
Re: [3.3] Session-ID bei jeder URL angehängt.
Das hört sich schon mal gut an. Ist schon bekannt, wann die v4.0 kommt?
Re: [3.3] Session-ID bei jeder URL angehängt.
Nein, das wird noch das eine oder andere Jahr dauern.
