Hallo, ich wollte einen Link in einen Bereich (wie z.B. der hier: http://firelandfoods.at/shop/index.php?cat=c16_Chilisaucen-Chilisaucen-2.html) verschicken. Was ich nicht wusste, wenn ich zu dem Zeitpunkt eingeloggt bin und den Link aus der URL-Leiste kopiere, kommen die Kunden direkt in den Adminbereich, wenn ich eingeloggt bin. Ich wurde dann von zwei Stammkunden umgehend aufmerksam gemacht. Kann ich da etwas machen? Scharfe Grüße, Richard
Naja, Kunden klickten auf den Link, kamen auf die Produktseite und konnten links dann "Adminbereich öffnen" anklicken, weil sie automatisch mit meinem Admin-Account eingeloggt waren. Allerdings wenn ich ausgeloggt bin geht es nicht. Hab nun die Zielseite entfernt, hilft aber nichts was den Zugang zum Admin betrifft.
Das kann eigentlich nur passieren, wenn an der url eine Session-ID angehangen war und die Session noch nicht abgelaufen ist. Solange Du "nur" die reine url nimmst, ist es nicht möglich, dass man dadurch Admin-Rechte erhält.
Hab eben nachgesehen, ja da ist eine Session-ID angehängt Was kann ich in dem Fall tun, außer von der Brücke zu sp...
Nun, das hatte ich so noch nicht gehört. Weil ich mich ja einlogge mit Benutzername und Passwort. Das ist auch mir nun eine Nummer zu Hoch? Ich habe es mal ausprobiert gerade mit einem anderen Browser. Den Admin Link dort eingefügt. Funktioniert nicht...also kein Zugriff. Probiere es mal mit einem anderen Browser aus, wenn Du eingelogt bist. LG Jörg
Leider haben mich ja ein paar Stammkunden darauf hingewiesen. Ich weiß jetzt immerhin schon mal, dass ich einen Link mit S-ID verschickt habe und das der Fehler war. Interessant wäre ob man hier überhaupt was machen kann bzw. kurz mal alle aus dem Shop kicken. Nur "Offline" zu stellen hilft denke ich ja nichts gegen jene, die derzeit als Admin eventuell im Adminbereich herumsurfen. Danke aber schonmal für die Anteilnahmen
Hallo Richard, die Sorge ist unbegründet. Der Zugang zum Adminbereich ist an dein Adminkundenkonto geknüpft. Die Seiten des Shops werden dynamisch erzeugt. Eine Url führt also nicht immer zur selben Seite. EDIT: Ok, ein Link mit Session-ID sollte nicht versendet werden! Die Links, die jetzt im Umlauf sind, sind aber nicht mehr gültig, da die Session mittlerweile abgelaufen sein sollte.
Es wäre mal Interessant zu Wissen was Du genau gemacht hast. Welcher Link...bzw welcher Part im Admin Bereich wurde in dem Moment bearbeitet? LG Jörg
Danke für den Hinweis. Über den Link mit der Session ID sind die Leute automatisch mit meinem Kundekonto eingeloggt und der Button für den Adminbereich wird angezeigt. Selbst wenn ich das Kennwort ändere hilft das nichts. Bin gespannt wie viele Kunden mit "meinem" Account bestellen. Waren ja nur 5000 Adressen an die der Newsletter ging Grüße Rich
Er wird einfach auf der jeweiligen Produktseite gewesen sein und hat die url dann aus dem Browser kopiert, blöderweise mit einer Session-ID.
@MP Solution: Zu dem Zeitpunkt hatte ich 1 Fenster offen sowie Outlook für den Newsletter: Seite mit Anzeige des Produktes (hier wurde der Link in der URL-Leiste (Browser: Chrome) kopiert.Gleichzeitig war ich aber auch mit dem Adminkonto eingeloggt. So etwas ist mir seit betreiben von Onlineshops noch nie passiert.
@Stoppel: korrekt Frage: kann man die Session-ID "löschen" oder ähnliches? Bzw. würde ich gerne mal alle kicken damit garantiert niemand mehr mit dieser S-ID im Adminbereich tätig ist.
Lösche sie einfach aus der kopierten url heraus, wie bei einer Textverarbeitung. Erst danach schickst Du die url dann auf die Reise (wohin auch immer).
Wozu ich jetzt rate: Logge dich im Shop aus. Lösche mit einem FTP-Programm im "cache"-Ordner des Shops alle Dateien, die mit sess im Namen beginnen. Damit sind alle aktuell noch aktiven Sitzungen gelöscht, so dass keiner mehr als Admin eingeloggt sein kann, der auf so einen Newsletter-Link klickt. In Zukunft darauf achten keine Session-IDs in Links zu verschicken.
Du kannst natürlich auch das Problem an der Wurzel packen, indem Du beim SEO-Boost die suchmaschinenfreundlichen url aktivierst. Dann sollte an die url gar keine Session-ID angehängt werden und das Problem kann gar nicht auftreten (wenn ich da jetzt keinen Denkfehler begehe).
man könnte doch auch die gültigen Sessions manuell löschen, wenn sowas wieder mal passieren sollte...