...kann man m.E. langsam mal drüber nachdenken. Der ein oder andere hat ja inzwischen ein SSL-Zertifikat. Da die php.ini-Einstellungen leider von der Anwendung überschrieben werden, ändere ich es bei meinen Kunden einstweilen in den 3 (um nicht zu sagen: DRY) Original-Dateien: /includes/application_top.php & /includes/application_top_main.php Alt: session_set_cookie_params(0, '/', (xtc_not_null($current_domain) ? '.'.$current_domain : ''), false, true); Neu: session_set_cookie_params(0, '/', (xtc_not_null($current_domain) ? '.'.$current_domain : ''), true, true); /admin/includes/application_top.php Alt: session_set_cookie_params(0, '/', (xtc_not_null($current_domain) ? '.' . $current_domain : ''), false, true); Neu: session_set_cookie_params(0, '/', (xtc_not_null($current_domain) ? '.' . $current_domain : ''), true, true); Eine Non-SSL kompatible könnte so aussehen: session_set_cookie_params(0, '/', (xtc_not_null($current_domain) ? '.' . $current_domain : ''), (strpos(HTTP_SERVER, 'https') === 0), true); Bitte den einleitenden Zynismus ignorieren und für kommende Versionen in Erwägung ziehen. Danke ;-)
Deine Bedingung für Shops mit HTTP war nicht ganz korrekt, aber ich habs mal aufgenommen https://tracker.gambio-server.net/issues/60153
Gracias! Wenn "wir" eh schon da dran sind vielleicht gleich noch den Cookie-Pfad auf das Installationsverzeichnis des Shops ändern, um Overhead zu vermeiden, falls der Shop in einem Unterverzeichnis installiert ist.
Alles klar, ist m.E. nur nice-to-have und betrifft eh die wenigsten. Die Security-Sache ist sehr viel wichtiger. Danke!