[Chr!s]

Hallo,
da es nun doch schon mehrfach vorgekommen ist wollte ich mein Problem hier mal erläutern, vielleicht wisst ihr was das sein kann.
In diversen Scripts von mir ist es schon einigen Usern (auch des öfteren) passiert, dass sie plötzlich als ein ganz andere User eingeloiggt waren, als sie tatsächlich sind. Dabei ist dieser User immer ein ganz bestimmter.

Ich weiß nicht, wie dieser Session-"Switch" passieren kann, die sessionIDs sind ja immer unique und werden automatisch vergeben (vielleicht sollte ich dsa ändern?).

Dabei macht der User nichts bestimmtes - er klickt im UserMenü rum, und lpötzlich ist er ein der besagte, andere User - erst nach aus- und neu einloggen hat er wieder seine alten SessionDaten. Woran könnte das liegen?

[CIX88]

Hmmm, Session-Timeout ?
(nur eine Vermutung)

[Ben]

Wird da eventuell irgendeine schlecht programmierte Session-Klasse verwendet, so dass die SID plötzlich gar nicht mehr "unique" ist, sondern irgendwie manuell zusammengebautwird?

Weiß ja nicht, was da so intern abläuft.

[Chr!s]

Es wird (zurzeit) kein manuelles Session-Handling betrieben - es werden die Links automatisch von PHP angehängt falls der User keine Cookies akzeptiert, und auch sonst die sessionIDs standardmäßig und unique von PHP generiert im normalen Hash mit normaler Länge ..

Zitat:

Hmmm, Session-Timeout ?
(nur eine Vermutung)

Wie meinst du das CIX88?
Nach einem Session-Timeout kann ich doch nicht einfach eine andere Sesssion zugewiesen bekommen ..

[Basti]

Ich würd mich dran machen und möglichst viele Informationen zusammentragen. Du könntest z.B. Referer, Session-Id, Zeiten, $_GET, $_POST und $_COOKIE loggen, sobald der bestimmte Benutzername in der Session steht.

Basti

[CIX88]

Zitat:

Wie meinst du das CIX88?

Deswegen auch nur eine Vermutung ...

Die Session hat ein zu kurzen Timeout, darauf hin wird eine neue erstellt.
Was dann zufällig eine von einen anderen User ist.
Die Lebendauer einer Session ist wohl auch Serverseitig einstellbar.
Kann natürlich auch völlig falsch liegen.

Hatte ähnliche Effekte schon mal selber erlebt, da lag es an der Umstellung von Cookies zu Session-Cookies.
Weis der Geier, was da passiert ist.

Interessanter wären Einzelheiten zu wissen.
Also wo, wann, bei was und bei wem es passiert ist.

Möglich dass auch eine IP-Geschichte dahinter steckt bzw. Abfrage einer IP mit Login-Daten etc...

Wie ist denn überhaupt das Login-System aufgebaut ?
Werden die Session-Daten gespeichert und irgendwo wieder abgefragt ?

[Chr!s]

Hm okay ..
Also über die IP wird nichts geregelt.
Der User hat immer eine Session - auch wenn er nicht eingeloggt ist (weil da auch mal was gespeichert werden soll) und wird hier mittels session_start() generiert - PHP übernimmt den Rest, ich benutze (noch) kein manuelles SessionManagement.
Der LogIn läuft ganz einfach so ab:

Der User gibt UserName & UserPassword in das Formular ein. Das übermittelt die Daten dann, die werden mit der Datenbank abgeglichen. Stimmen die eingegebenen Daten überein -> werden Daten wie iUserID, sUserName in die Sesssion geschrieben - stimmen die Daten nicht überein, kriegt er halt ne Fehlermeldung. Beim ausloggen wird die session zerstört (session_destroy()).

Während der User eingeloggt ist, wird die Session nicht verändert - nur ausgelesen. Und irgendwann (interessant dabei ist, dass es anscheinend kein regelmäßes Auftreten gibt, es muss also bestimmte Umstände geben) wechselt der User dann zu dem einen bestimmten User - oder auch nicht, es passiert ja sehr selten. Dabei spielt es keine Rolle auf welcher Seite sich der User befindet und/oder klickt ..

[dejan_spasic]

Zitat:

Dabei ist dieser User immer ein ganz bestimmter.

Vieleicht bist du ein Opfer eines XSS Angriffs...? Könnte doch sein, wenn man immer wieder als ein bestimmter Benutzer anbgelmeldet ist.

[Chr!s]

Das fände ich dann aber seltsam .. Denn es kann bei allen Usern auftreten - und es ist mir schon bei mehreren Projekten nur auf diesem Server aufgefallen.. Vielleicht sollte ich mich mal mit dem Support dort in Verbindung setzen ..

[Basti]

Und der Benutzer, den die Benutzer dann "werden" ist immer der selbe?

Oder ist es immer die selbe Session-ID, zu der da plötzlich gewechselt wird?

Wechselt die SID überhaupt oder steht plötzlich nur eine andere UID drinnen?

Hat dieser spezielle Benutzer zufällig die ID 0?

Hast du denn das Übliche korrekt umgesetzt? Vor allem ein sicheres Verzeichnis für deine Session-Daten definiert? (Hört sich aber so an, als hättest du den anderen üblichen Klimbim nicht beachtet: Korrektes Zerstören der Session, session_regenerate_id(true) beim ein- und ausloggen etc.

Gibst du die SID bei Location-Headern mit? (Könnte ja sein, dass du es dort oder bei anderen Aktionen, wo session.use_trans_sid nicht greift vergisst und dass dadurch was durcheinander kommt)

Was sagen die Logs, falls schon eingebaut?

Hilfreich vielleicht auch, einfach nur mal time - ip - SID - $_SESSION bei jedem Request zu loggen. Da könntest du dann auswerten, wo sich bei gleicher IP die SID ändert, wo sich bei gleicher SID die UID ändert etc.

Basti

[Chr!s]

Zitat:

Und der Benutzer, den die Benutzer dann "werden" ist immer der selbe?

Ja, darüber hab ich mir auch schon Gedanken gemacht.

Zitat:

Wechselt die SID überhaupt oder steht plötzlich nur eine andere UID drinnen?

Hab ich noch nicht loggen können - werde morgen einen derartigen Logger mal einbauen.

Zitat:

Hat dieser spezielle Benutzer zufällig die ID 0?

Nein, die ID 3.
Session-Ordner liegt natürlich unter root, Session wird auch korrekt zerstört ..
Logger werd ich morgen mal hinzufügen.

Die Sache ist die - ich glaube nicht dass es an diesem SCript liegt, sondern eher am Server. Die Sache ist nämlich schon häufiger vorgekommen, mit diversen Scripts, auf diesem Server (ich bin shared).

[Basti]

Zitat:

Zitat von Chr!s

Session-Ordner liegt natürlich unter root

Nicht verwunderlich unter Linux. Da liegt jede Datei unterhalb von root. *g

Die Frage ist halt, ob du die Daten z.B. in /tmp legst, in dem alle Benutzer auf dem Server lesen und schreiben können und so ggf. auch auf deine Session-Dateien zugreifen können.

Basti

[Ben]

Zitat:

Zitat von Chr!s

Die Sache ist die - ich glaube nicht dass es an diesem SCript liegt, sondern eher am Server. Die Sache ist nämlich schon häufiger vorgekommen, mit diversen Scripts, auf diesem Server (ich bin shared).

Fragt man sich woher du das weißt und zweitens, ob man da nicht auch mal ansetzen sollte. Also herausfinden, ob nicht jemand, der das Problem schonmal hatte, eine Lösungen für dasselbe gefunden hat.

Grüße, Ben.