View Issue Details
| ID | Project | Category | View Status | Date Submitted | Last Update |
|---|---|---|---|---|---|
| 0003320 | OXID eShop (all versions) | 4.02. Session handling | public | 2011-10-18 17:50 | 2011-11-15 16:39 |
| Reporter | FC HB | Assigned To | |||
| Priority | normal | Severity | crash | Reproducibility | sometimes |
| Status | closed | Resolution | @95@ | ||
| Product Version | 4.4.8 revision 34028 | ||||
| Summary | 0003320: Webformular: getSessionChallengeToken() - returns an empty string [Support-Ticket #1224857] | ||||
| Description | Hallo OXID Support Team, ich schliesse mich gerne mal dem bestehenden Supporticket mit obenstehender Nummer an. Auch wir konnten dieses Phänomen bereits mehrfach reproduzieren. Nachdem der User beispielswiese von der Seite von Paypal oder Sofortüberweisung zurück in den Shop kommt, wird dann seine Session nicht wiedererkannt. Wir haben dazu auf dem Server von Kunde xxx.xx ein logging eingebaut und folgendes herausgefunden: BEVOR der User (mit Mozilla 5) zu beispielsweise Paypal geschickt wird, hat er laut der OXID Prüfung folgenden User Agent: [HTTP_USER_AGENT] => Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C) Kommt er von dort zurück in den Shop, wir DERSELBE User, der zwischendurch NICHT seinen Browser geschlossen hat, als [HTTP_USER_AGENT] => Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) erkannt. Daraufhin blockt das OXID Framework die Session. Das ist ja im Prinzip auch korrekt, wenn sich der Useragent ändert – nur hat er sich nicht geändert! Im Prinzip scheint das Problem in der Kennung zu liegen, die der Firefox da sendet. Ein Load Balancer Problem kann ich denke ich ausschliessen, da das Problem auch bei Kunde yyy.yy auftritt, wo es nur ein single Server System ist. Allerdings sollte es einfach nicht passieren, dass deswegen die Bestellung abgebrochen wird. Die Lösung ist denke ich weniger durch einen Programmierer, denn einen Softwarearchitekten konzeptionell anzugehen – wie seht Ihr das? Im Paymentmodul die OXID Sessionprüfung auszuhebeln dürfte der falsche Ansatz sein, und wahrscheinlich auch nicht durch Euren Modul-Zertifizierungsprozess gehen :-) Viele Grüße Hendrik | ||||
| Additional Information | Sehr geehrter Herr Bahr, sollte dieses Verhalten seitens unserer Entwickler bestätigt werden, wird vom Produktmanagement weiteres Vorgehen entschieden. Hierzu möchte ich Sie bitten, das Verhalten in unseren öffentlichen Bugtracker einzutragen, den Sie uter http://bugs.oxid-esales.com erreichen. Mit freundlichen Grüßen Eike Spriess Technical Support | ||||
| Tags | No tags attached. | ||||
| Theme | Both | ||||
| Browser | All | ||||
| PHP Version | any | ||||
| Database Version | any | ||||
