[gelöst] Debian 11, Session-Cookies aktiviert aber Session-ID in URL

Allgemein Fragen, deutsche News, Ankündigungen & Events zum OTRS
Post Reply
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

[gelöst] Debian 11, Session-Cookies aktiviert aber Session-ID in URL

Post by GustavG »

Hallo,

nachdem ich ein Znuny 6.0.34 von einem Debian 9 auf einen Debian 11 Server umgezogen habe, stellte ich fest, dass wenn ich nach der Anmeldung an Znuny 6.0.36 den Link vom Agenten-Interface:

Code: Select all

https://service.example.org/index.pl?Action=AgentDashboard;OTRSAgentInterface=suoiQzCZ1Oak3VuYqGdXLIl6VkfQqsXx
kopiere und in einen anderen Browser eingebe, man eingeloggt ist ohne ein Passwort einzugeben. Vor dem Umzug:

Code: Select all

https://example.org/otrs/index.pl?Action=AgentDashboard
Die Einstellung SessionUseCookie ist aber aktiviert. Das Kuriose ist, beim alten Server mit Debian 9 ist das nicht so, es müsste also theoretisch irgendeine Einstellung vom Debian 11 sein - nur welche? Ich habe alles (Apache2, Mariadb, perl) aus dem Debian Repo installiert und mich sonst sehr an die Doku einer Neuinstallation gehalten.

Die Umgebungsvariablen sind bei beiden Systemen fast identisch. Die Browser sind beim alten und neuen System die gleichen, daran sollte es nicht liegen.

Lösung: Ich habe nach diesem Beitrag meine URL so umgebaut, dass das /otrs/ nicht mehr angezeigt wird. Das habe ich so schon in einem anderen Ticketsystem gemacht welches auch noch auf Debian 9 läuft. Ich habe die /opt/otrs/scripts/apache2-httpd.include.conf von diesem System kopiert, die Einstellungen vom Apache kontrolliert und angepasst und auch die Config.pm durchgeschaut. Der Eintrag

Code: Select all

$Self->{ScriptAlias} = '';
fehlte in der Config.pm, auf dem System, auf dem es ohne /otrs/ schon länger korrekt läuft. Erst als ich diesen Eintrag in die Config.pm des neuen Systems schrieb wurden keine Session-ID's mehr in die URL gesteckt.

Da sollte aber vielleicht mal ein Programmierer drüber schauen, ob dieser 10 Jahre alte Beitrag noch sicher und aktuell ist.
Post Reply