phpBB.de

Verfasst: **10.05.2022 14:33**

Ich habe jetzt testweise ein neues phpBB-Board installiert. Dabei habe ich das neueste Paket heruntergeladen. Die Version ist die 3.3.7

Mir ist aufgefallen, dass phpBB bei jedem Seitenaufruf die Session-ID an die URL anhängt. Das darf natürlich nicht sein.
Es wird zwar ein Session-Cookie angelegt. Aber es wird anscheinend nicht verwendet. Wenn ich die sid aus der URL lösche, ist auch die Session weg.

Egal, was ich bei den Cookie-Einstellungen angebe, die sid bleibt...
Die Domain ist eine Subdomain mit einem Lets Encrypt Zertifikat. Der Zugriff ist nur über SSL möglich.
Domain: forum.domain.de

folgendes habe ich versucht:

Cookie Domain: (Cookie-Domain) .domain.de
Cookie Name: ( Cookie-Name) phpbb3_session
Cookie Path: (Cookie-Pfad) /
Cookie Secure (Sicherer Server): ja

Force Server Vars false
Script Path: (Scriptpfad) /
Server Name: (Domain-Name) forum.domain.de
Server Port: (Server-Port) 443
Server Protocol: (Server-Protokoll) https://

Damit sollten die Cookie-Settings eigentlich passen. Ist das ein Bug in de neuen Version?

Verfasst: **10.05.2022 15:59**

Poste doch bitte einen Link zu deinem Forum, dann können wir uns das ansehen; so ist das Glaskugel-lesen

Verfasst: **10.05.2022 16:01**

Diesen Effekt kenne ich auch. Ich nutze zwar die Version von phpBB3-3.2.9, aber nur im alten Microsoft Edge 44.x (ohne chromium) kann ich das reproduzieren

.

Ohne Anhang der SID ist's in:
• TorBrowser 10.0.14
• Palemoon 29.2.0
• Google Chrome 79.0

Verfasst: **11.05.2022 09:41**

Mein Forum ist unter der URL https://tinyurl.com/52r3627z erreichbar.
Bei mir wird die sid bei jedem Browser angehängt...

Verfasst: **11.05.2022 10:11**

Also ich bin schon mal einen Schritt weiter....

Die sid wird für normale Foren-User nicht mehr angezeigt. Was aber bleibt ist, dass wenn ich in den Admin-Bereich gehe, die sid an die URL angehängt wird. Navigiere ich im Admin-Bereich, wird bei jeder URL die sid angehängt, navigiere ich dann wieder im Forum selbst, wird die sid nicht mehr angehängt....

bekommt man die sid auch für den Admin-Bereich weg, oder muss die da bleiben, weil eine zweite session verwendet wird?

Verfasst: **11.05.2022 10:15**

Die im Admin-Bereich muss bleiben.

Verfasst: **11.05.2022 10:27**

Warum muss die bleiben?
Die Session-ID ändert sich ja scheinbar nicht. Die angehängte ID ist identisch mit der ID im Cookie, egal ob ich im Admin-Bereich bin oder im Foren-Bereich.
Welchen Sinn hat dann die ID in der URL?

Verfasst: **11.05.2022 10:35**

Ich formuliere es um, du kannst die SID im Administrator Bereich nicht entfernen, aber mit phpBB 4.0 wird sie nicht mehr benötigt.

Verfasst: **11.05.2022 10:46**

Das hört sich schon mal gut an. Ist schon bekannt, wann die v4.0 kommt?

Verfasst: **11.05.2022 10:48**

Nein, das wird noch das eine oder andere Jahr dauern.

phpBB.de

[3.3] Session-ID bei jeder URL angehängt.

[3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.

Re: [3.3] Session-ID bei jeder URL angehängt.