Die neue Version 9.0.7 steht ab sofort zum Download/Update zur Verfügung.
https://www.webedition.org/de/dokumenta ... sion-9.0.7
webEdition 9.0.7 veröffentlicht
webEdition 9.0.7 veröffentlicht
webEdition-Kern-Entwickler
Re: webEdition 9.0.7 veröffentlicht
Mi Marc, zunächst vielen Dank für das neue Update!!
Ich wollte eine erste Testinstallation updaten um mir alles anzusehen.
Eine Frage zur WE-Sessionverwaltung. Im Update-Dialog erscheint der folgenden Hinweis:
In den Einstellungen wird ja die Verschlüsselung mit Cookies empfohlen. Sollte man daher vom Einsatz im Live-System noch abwarten?
Im Hinweis zur Versionshistorie ist mir noch aufgefallen, dass dort steht:
VG Adrian
Ich wollte eine erste Testinstallation updaten um mir alles anzusehen.
Eine Frage zur WE-Sessionverwaltung. Im Update-Dialog erscheint der folgenden Hinweis:
Kannst du mir was zu den Vor- und Nachteilen der Session-Verschlüsselung mit Cookies im Gegensatz zu der "Transparenten"-Variante sagen?In den Einstellungen ist für die Session die Verschlüsselung mit Cookies aktiviert. Mit aktivierter Einstellung ist ein Update derzeit nicht möglich. Setze die Einstellung auf Transparent um ein Update durchzuführen.
In den Einstellungen wird ja die Verschlüsselung mit Cookies empfohlen. Sollte man daher vom Einsatz im Live-System noch abwarten?
Im Hinweis zur Versionshistorie ist mir noch aufgefallen, dass dort steht:
Müsste auf 9.0.7 angepasst werden.Die Verwendung von 9.0.5 wird ausdrücklich empfohlen.
VG Adrian
Re: webEdition 9.0.7 veröffentlicht
Klar. Bei der transparenten Sessionverschlüsselung werden die Sessiondaten in der Datenbank verschlüsselt. Es werden dazu Daten des Browsers herangezogen damit möglich nur der Client die Session entschlüsseln kann. Es gibt hier schon einige Möglichkeiten bei denen die Daten gleich sind und somit ein anderer Client die Daten entschlüsseln könnte.Kannst du mir was zu den Vor- und Nachteilen der Session-Verschlüsselung mit Cookies im Gegensatz zu der "Transparenten"-Variante sagen?
In den Einstellungen wird ja die Verschlüsselung mit Cookies empfohlen. Sollte man daher vom Einsatz im Live-System noch abwarten?
Diese Form der Verschlüsselung hilft auf jeden Fall schon mal gegen normale Datenbank angriffe um dort an Sessiondaten zu kommen (normal werden die Daten von php unverschlüsselt im Dateisystem abgelegt), dies ist in sofern schon mal ein deutlich besserer Schutz.
Bei der Cookie Verschlüsselung wird ein Cookie im Browser hinterlegt. Dieses Cookie enthält einen Schlüssel und wird zur Entschlüsselung des Session benutzt. Das funktioniert auch so wie gedacht und erhöht den Schutz deutlich. Nur mit Kenntnis der SessionID oder des Browsers kannst du nicht dich in eine bestehende Session einklinken. Das Hauptproblem ist aktuell noch der Updater. Wenn du versuchst ein Update mit eingeschalteten Cookies zu machen, dann wirst du aus der Session ausgeloggt. Das Update findet direkt mit dem Update-Server statt und dabei fehlt dann (richtigerweise) das Cookie und deine Session kann nicht mehr entschlüsselt werden. Irgendwo steckt hier noch ein unnötiger Zugriff der das Problem auslöst.
Zum Einsatz im Live-System spricht nichts - man muß nur leider zum Updaten diese Einstellung auf transparent setzen. Dabei fliegen dann alle Benutzer/Kunden aus WE. Ich denke wir bekommen das Problem auch demnächst noch in den Griff.
Btw. wenn man das zusammen mit dem Wartungsmodus benutzt, hat man eine gute Möglichkeit mal Wartungen durchzuführen ohne das Kunden/Benutzer im System sind
webEdition-Kern-Entwickler
Re: webEdition 9.0.7 veröffentlicht
Dank Marc, für die ausführliche Erläuterung.
Dann kann man also einfach für's Update auf Transparent gehen und für den Betrieb wieder auf die Cookie-Variante wechseln.
Das passt dann ja.
Dann kann man also einfach für's Update auf Transparent gehen und für den Betrieb wieder auf die Cookie-Variante wechseln.
Das passt dann ja.
Re: webEdition 9.0.7 veröffentlicht
Danke fürs wE-Update, wie immer super! Mir ist bei einer Installation aufgefallen, dass sich beim Zeitplaner keine Aufgabe mehr speichern lässt. Der Errorlog dazu:
Vielleicht könnt Ihr das beim nächsten Update-Durchgang berücksichtigen, danke.
Code: Alles auswählen
Error type:
Exception
Error message:
error inserting schedule
Script name:
SECURITY_REPL_DOC_ROOT/webEdition/we/classes/schedule/we_schedule_scheduler.class.php
Line number:
296
Re: webEdition 9.0.7 veröffentlicht
Das wäre das als Bug in der Bugbase sicher besser aufgehoben
qa.webedition.org
qa.webedition.org
Re: webEdition 9.0.7 veröffentlicht
Richtig, ist eingetragen
-
- Junior Member
- Beiträge: 4
- Registriert: Fr 16. Apr 2021, 14:53
Re: webEdition 9.0.7 veröffentlicht
Hallo zusammen,
sorry wenn ich es jetzt hier reinschreibe - ist für die Version 8.x gedacht aber eventuell auch für die 9.x.
Nachdem ich kein Update machen konnte habe ich die Session Verschlüsselung von Cookie auf Transparent eingestellt.
Update hat auch einwandfrei funktioniert.
Nur leider kann ich mich jetzt nicht mehr in wE einloggen - komme immer wieder auf die LogIn-Seite ohne Fehlermeldung!
Kann ich die Einstellung der Sessions manuell in der DB wieder auf Cookie stellen und wenn ja wo genau?
Danke und Grüße
sorry wenn ich es jetzt hier reinschreibe - ist für die Version 8.x gedacht aber eventuell auch für die 9.x.
Nachdem ich kein Update machen konnte habe ich die Session Verschlüsselung von Cookie auf Transparent eingestellt.
Update hat auch einwandfrei funktioniert.
Nur leider kann ich mich jetzt nicht mehr in wE einloggen - komme immer wieder auf die LogIn-Seite ohne Fehlermeldung!
Kann ich die Einstellung der Sessions manuell in der DB wieder auf Cookie stellen und wenn ja wo genau?
Danke und Grüße
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 55 Gäste