Session ID's bei Joomla 1.5 mit Firefox und Opera?

Loewenherz · Registriert seit: 17.02.2005

Hi,
ich teste die 1.5 seit dem RC4 etwas genauer durch (siehe Blog) und bin etwas überrascht. Bei einer Test-Installation (RC4, all-inkl.de, Installation mit Beispielcontent) erhalte ich nach Aktivierung der drei SEF-Parameter Session-ID's in den URL. SEO-technisch ein Unding. Zuerst waren sie nicht da, aber nach dem Logout aus dem Backend und einem zweiten Besuch hatte ich sie.
Bei einer zweiten Test-Installation (Stable, 1&1, blanke Installation ohne Beispielcontent) sind die URL's bei der selben Konfiguration perfekt.

Ich teste die erste Installation mit dem Internet Explorer und erhalte keine Session-ID's. Upgrade des RC4 auf stable. Neuaufruf mit Firefox und Hinweis auf den zu löschende Installations-Ordner, den ich aus Versehen mit hoch geladen habe. Lösche ihn, klicke auf den Link und habe wieder eine Session-ID. Rufe die Domain als solche neu auf und habe nirgendwo eine Session-ID. Ich rufe die Domain erstmals mit Opera neu auf und habe eine Session-ID in den URL's. Rufe die Zweitinstallation mit selbst eingestelltem Content bei 1&1 mit Opera erstmals auf: Keine Session-ID's.

Hat irgendjemand eine Erklärung oder gar Lösung für dieses Phänomen?

janwin · Registriert seit: 18.03.2007

Hallo Loewenherz,
leider habe ich keine Lösung, bestätige aber das "Phänomen" - auch meine Links / Formfields weisen sessions auf :/ Das führt u.A. auch dazu, dass der W3C Validator meckert (Xhtml Strict hier). Würde mich freuen, wenn jemand eine Info dazu haette. Fahre hier die Joomla 1.5.1 mit SEF Patch, die ersten beiden SEF-Core Parameter (suchmaschinenfreundliche URLs, mod_rewrite) aktiviert. Gehosted bei hosteurope.
Danke und Gruß,
janwin

Update:
Habe noch ein bisschen rumgetestet. Sobald ich das mod_search deaktiviere, bekomme ich zumindest eine w3c xhtml strict Seite. Dennoch bleiben in den gesamten Links die sessionIDs bestehen. Schade, ich dachte schon, ich haette den Ursprung identifiziert. War aber nicht.
Macht's aber nicht besser, denn: im mod_search fehlt das fieldset um das form element. soweit so gut, kann man ja nachsetzen in den html overrides, aber: durch diese session geschichte haut joomla offenbar noch ein input mit type hidden und der session in den form, direkt nach dem oeffnenden form tag. dieses input steht dann vor dem danach folgenden fieldset und hin ist's mit der validität. hmm. Ich verstehe das nicht? Anyone?

sonnenblume · Registriert seit: 05.05.2005

hallo,

ich habe bei meiner seite das gleiche problem. siehe:

http://www.joomlaportal.de/allgemein...e-content.html

dauerte allerdings einige tage bis ich draufgekommen bin, dass es sich hier um eine session id handelt :-)

kann man das irgendwie patchen???

lg sonnenblume

edit:
problem gelöst: habe auf php 5.2 upgedated. funzt alles super
lg

Okocha · Registriert seit: 18.05.2008

En Guden, ihr Leut!

Muss nochmal nachhaken, hab 1.5.3 und das gleiche Problem. Auch SEF und mod_rewrite aktiviert. Gibts da jetzt ne Lösung? Verzweifle hier noch...

Gruß, Okocha

Okocha · Registriert seit: 18.05.2008

So, hab von meinem Provider gesagt bekommen, ich solle folgende Zeile einfügen:

AddHandler x-httpd-php5 .php

Jetzt scheint das Session ID Problem gelöst, dafür funktionieren verschiedene Geschichten nicht mehr, wie z.B. die Umfrage Komponente. Liegt das daran, das die mit PHP 5 nicht klarkommt?

Was mache ich denn jetzt? Ver*#!*te Zwickmühle...

HIILFEEE!

Elblindo · Registriert seit: 03.06.2008

Hallo,

ich ahbe das gleich problem wie Okocha und auch noch keine Lösung in Sicht.
Immer wieder ID´s nach folgenden Muster:
http://www.meineseite.de/?ce021607ab...d0d940903b297d

PhP 5 auch getestet -> Komponenten Problem, *? in Robots.txt ausgesperrt und trotzdem immer wieder indexerte URL mit Parameter.
Verwende übrigens ebenfalls Joomla 1.5.2.

HILFE!!! Brauche dringend eine Lösung!

Danke für alle Tipps
Elblindo

CirTap · Registriert seit: 12.12.2005

Moin,

das Phänomen könnte an einer PHP-Einstellung liegen.
Bastelt mal eine Testdatei mit folgendem Inhalt oder kopiert das in die index.php des Templates zum debuggen:

Code:

<?php echo "(". ini_get("session.use_trans_sid") .")"; ?>

die "Klammern" sollten leer sein oder die Zahl 0 enthalten, was eigentlich auch die Voreinstellung ist und der Sicherheit dient. Ist dies nicht der Fall, hat jemand daran geschraubt oder ihr habt 'ne verkorkste lokale "XAMPP"-Installation.
Ist der Wert "On", "true" oder "1" klebt PHP die Session-ID beim ersten Seitenaufruf kaputtautomatisch an die URL, an alles was nach einem Link riecht (href=xxx) und packt ein verstecktes Feld in *alle* Formulare. Genau: PHP verändert den HTML-Code bei dieser Einstellung eigenmächtig, nicht Joomla -- daher das zerschossene fieldset. Ab dem 2. Aufruf greifen i.d.R. die Cookies und die Session-ID "verschwindet" wieder auf magische Weise.

Um herauszufinden *was* PHP alles ändert kann man diese Zeile bemühen:

Code:

<?php echo ini_get("url_rewriter.tags"); ?>

Zu dieser Einstellung sagt das Handbuch: "If you want XHTML conformity, remove the form entry." Hierzu sei aber auch gesagt, dass das Hinzufügen von "fieldset=" an diese Liste und zwar *nach* "form=" auch für Konformität sorgt.

Beides kann übrigens zur Laufzeit geändert werde, d.h. wenn PHP als Servermodul läuft (nicht der Fall bei 1und1 und vielen Pauschalhostern) in der .htaccess, ansonsten in einem Skript der möglichst gaaanz zu Anfang ein ini_set() enthält, d.h. "patchen".

Viel Spaß,
CirTap

Okocha · Registriert seit: 18.05.2008

Also erstmal danke für die Antwort. In der Tat ist der Wert bei mir bei PHP5 (0) - dann funktionieren meine Komponenten wie die Umfrage aber nicht mehr. Bei PHP4 ist er (1).

Habe soeben Kontakt mit meinem Provider aufgenommen, werde die Lösung hier posten wenn (falls) ich es irgendwie hinbekomme.

Greetz

Okocha · Registriert seit: 18.05.2008

Hm, ok, noch keine Lösung, aber vielleicht kann ja einer was anfangen mit den Infos, die ich jetzt habe.

Der Provider hat gesagt, er kann das für PHP4 umstellen, dann geht alles. Aber PHP5 wäre mir natürlich lieber, auch wegen Sicherheit usw.

Es scheint in der Tat kein PHP5 Problem an sich zu sein, sonder die Kombination mod_rewrite und PHP5. Bei deaktiviertem mod_rewrite geht nämlich alles, keine Session IDs - nur halt keine suchmaschinenfreundliche URLs. Also auch keine Lösung.

Noch Ideen? Ich wünschte ich wär in PHP und was mod_rewrite angeht fitter, hab keine Ahnung, wie ich das in den Griff bekommen soll...

Okocha · Registriert seit: 18.05.2008

Hier meine .htaccess:

AddHandler x-httpd-php5 .php

################################################## ###
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
################################################## ###

## Can be commented out if causes errors, see notes above.
#Options +FollowSymLinks

#
# mod_rewrite in use

RewriteEngine On

# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)

#RewriteBase /

# To redirect all users to access the site WITH the 'www.' prefix,
# (http://example.com/... will be redirected to http://www.example.com/...)
# adapt and uncomment the following:
RewriteCond %{HTTP_HOST} ^MEINEDOMAIN\.de$ [NC]
RewriteRule ^(.*)$ http://www.MEINEDOMAIN.de/$1 [L,R=301]

########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*$.*$ [OR]
# Block out any script that includes a ********** tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Diese Seite per E-Mail verschicken	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln


Loewenherz Joomla Experte Registriert seit: 17.02.2005 Ort: Frankfurt/Main Beiträge: 317 Bedankte sich: 24 13 Danksagungen in 13 Beiträgen	Session ID's bei Joomla 1.5 mit Firefox und Opera? Hi, ich teste die 1.5 seit dem RC4 etwas genauer durch (siehe Blog) und bin etwas überrascht. Bei einer Test-Installation (RC4, all-inkl.de, Installation mit Beispielcontent) erhalte ich nach Aktivierung der drei SEF-Parameter Session-ID's in den URL. SEO-technisch ein Unding. Zuerst waren sie nicht da, aber nach dem Logout aus dem Backend und einem zweiten Besuch hatte ich sie. Bei einer zweiten Test-Installation (Stable, 1&1, blanke Installation ohne Beispielcontent) sind die URL's bei der selben Konfiguration perfekt. Ich teste die erste Installation mit dem Internet Explorer und erhalte keine Session-ID's. Upgrade des RC4 auf stable. Neuaufruf mit Firefox und Hinweis auf den zu löschende Installations-Ordner, den ich aus Versehen mit hoch geladen habe. Lösche ihn, klicke auf den Link und habe wieder eine Session-ID. Rufe die Domain als solche neu auf und habe nirgendwo eine Session-ID. Ich rufe die Domain erstmals mit Opera neu auf und habe eine Session-ID in den URL's. Rufe die Zweitinstallation mit selbst eingestelltem Content bei 1&1 mit Opera erstmals auf: Keine Session-ID's. Hat irgendjemand eine Erklärung oder gar Lösung für dieses Phänomen? __________________ Joomla!-Downloads und Joomla!-Tutorials von Wolke23. Team phpBB.de und Joomla-Blog.


janwin Joomla Newbie Registriert seit: 18.03.2007 Beiträge: 2 Bedankte sich: 0 0 Danksagungen in 0 Beiträgen	Hallo Loewenherz, leider habe ich keine Lösung, bestätige aber das "Phänomen" - auch meine Links / Formfields weisen sessions auf :/ Das führt u.A. auch dazu, dass der W3C Validator meckert (Xhtml Strict hier). Würde mich freuen, wenn jemand eine Info dazu haette. Fahre hier die Joomla 1.5.1 mit SEF Patch, die ersten beiden SEF-Core Parameter (suchmaschinenfreundliche URLs, mod_rewrite) aktiviert. Gehosted bei hosteurope. Danke und Gruß, janwin Update: Habe noch ein bisschen rumgetestet. Sobald ich das mod_search deaktiviere, bekomme ich zumindest eine w3c xhtml strict Seite. Dennoch bleiben in den gesamten Links die sessionIDs bestehen. Schade, ich dachte schon, ich haette den Ursprung identifiziert. War aber nicht. Macht's aber nicht besser, denn: im mod_search fehlt das fieldset um das form element. soweit so gut, kann man ja nachsetzen in den html overrides, aber: durch diese session geschichte haut joomla offenbar noch ein input mit type hidden und der session in den form, direkt nach dem oeffnenden form tag. dieses input steht dann vor dem danach folgenden fieldset und hin ist's mit der validität. hmm. Ich verstehe das nicht? Anyone?


sonnenblume Joomlaianer Registriert seit: 05.05.2005 Beiträge: 66 Bedankte sich: 2 3 Danksagungen in 3 Beiträgen	hallo, ich habe bei meiner seite das gleiche problem. siehe: http://www.joomlaportal.de/allgemein...e-content.html dauerte allerdings einige tage bis ich draufgekommen bin, dass es sich hier um eine session id handelt :-) kann man das irgendwie patchen??? lg sonnenblume edit: problem gelöst: habe auf php 5.2 upgedated. funzt alles super lg


Okocha Joomla Newbie Registriert seit: 18.05.2008 Beiträge: 7 Bedankte sich: 0 0 Danksagungen in 0 Beiträgen	En Guden, ihr Leut! Muss nochmal nachhaken, hab 1.5.3 und das gleiche Problem. Auch SEF und mod_rewrite aktiviert. Gibts da jetzt ne Lösung? Verzweifle hier noch... Gruß, Okocha


Okocha Joomla Newbie Registriert seit: 18.05.2008 Beiträge: 7 Bedankte sich: 0 0 Danksagungen in 0 Beiträgen	Hilfe! So, hab von meinem Provider gesagt bekommen, ich solle folgende Zeile einfügen: AddHandler x-httpd-php5 .php Jetzt scheint das Session ID Problem gelöst, dafür funktionieren verschiedene Geschichten nicht mehr, wie z.B. die Umfrage Komponente. Liegt das daran, das die mit PHP 5 nicht klarkommt? Was mache ich denn jetzt? Ver#!te Zwickmühle... HIILFEEE!


Elblindo Joomla Newbie Registriert seit: 03.06.2008 Beiträge: 13 Bedankte sich: 1 0 Danksagungen in 0 Beiträgen	Joomla ID Problem Hallo, ich ahbe das gleich problem wie Okocha und auch noch keine Lösung in Sicht. Immer wieder ID´s nach folgenden Muster: http://www.meineseite.de/?ce021607ab...d0d940903b297d PhP 5 auch getestet -> Komponenten Problem, *? in Robots.txt ausgesperrt und trotzdem immer wieder indexerte URL mit Parameter. Verwende übrigens ebenfalls Joomla 1.5.2. HILFE!!! Brauche dringend eine Lösung! Danke für alle Tipps Elblindo


CirTap Premium Supporter Wohnort auf der Karte Registriert seit: 12.12.2005 Ort: Karlsruhe Beiträge: 1,273 Bedankte sich: 57 410 Danksagungen in 341 Beiträgen	Moin, das Phänomen könnte an einer PHP-Einstellung liegen. Bastelt mal eine Testdatei mit folgendem Inhalt oder kopiert das in die index.php des Templates zum debuggen: Code: <?php echo "(". ini_get("session.use_trans_sid") .")"; ?> die "Klammern" sollten leer sein oder die Zahl 0 enthalten, was eigentlich auch die Voreinstellung ist und der Sicherheit dient. Ist dies nicht der Fall, hat jemand daran geschraubt oder ihr habt 'ne verkorkste lokale "XAMPP"-Installation. Ist der Wert "On", "true" oder "1" klebt PHP die Session-ID beim ersten Seitenaufruf kaputtautomatisch an die URL, an alles was nach einem Link riecht (href=xxx) und packt ein verstecktes Feld in alle Formulare. Genau: PHP verändert den HTML-Code bei dieser Einstellung eigenmächtig, nicht Joomla -- daher das zerschossene fieldset. Ab dem 2. Aufruf greifen i.d.R. die Cookies und die Session-ID "verschwindet" wieder auf magische Weise. Um herauszufinden was PHP alles ändert kann man diese Zeile bemühen: Code: <?php echo ini_get("url_rewriter.tags"); ?> Zu dieser Einstellung sagt das Handbuch: "If you want XHTML conformity, remove the form entry." Hierzu sei aber auch gesagt, dass das Hinzufügen von "fieldset=" an diese Liste und zwar nach "form=" auch für Konformität sorgt. Beides kann übrigens zur Laufzeit geändert werde, d.h. wenn PHP als Servermodul läuft (nicht der Fall bei 1und1 und vielen Pauschalhostern) in der .htaccess, ansonsten in einem Skript der möglichst gaaanz zu Anfang ein ini_set() enthält, d.h. "patchen". Viel Spaß, CirTap __________________ Joomla FAQ \| CSS-Probleme? Verstehen Entdecken Anwenden Meistern "I love deadlines. I like the whooshing sound they make as they fly by." (Douglas Adams) Man kann Software schnell, gut und günstig schreiben, sich aber nur 2 Dinge aussuchen.