PHPSESSID-Cookie wird auf falschen Pfad gesetzt

Question

Wir haben aktuell das Problem, dass beim Login Reqeuest nach Eingabe von Username und Passwort über die korrekte URL https://our-domain/sosci/admin/index.php das Cookie für die PHPSESSID auf den falschen Pfad (doppelslash vor admin) gesetzt wird:

set-cookie: PHPSESSIK=45cd54dfdf55274a4270fbd5d2b0edf6; path=/sosci//admin/; domain=our-domain; HttpOnly; SameSite=strict

Danach wird bei jedem weiteren Request der User wieder "ausgeloggt" bzw. geht die Login-Session verloren. Woran kann das liegen?

Answer 1

Bitte prüfen Sie, welcher Pfad für SoSci Survey in den SoSci-Servereinstellungen festgelegt ist. Eigentlich sollte die Installationsroutine sich um einen evtl. überflüssigen Slash kümmern ... aber scheinbar funktionierte das in Ihrem Fall nicht.

Welche Version von SoSci Survey verwenden Sie?

Comments

Der Pfad in den Server-Einstellungen ist korrekt. Wir haben die Version 3.4.12. Nach einem Speichern der Konfiguration über die Admin-Oberfläche ist der Cookie-Pfad wieder korrekt. Wir rollen die config.php über unser Deployment-Script aus. Habe soeben bemerkt, das wir beim Deployment die URL mit / ausrollen und im Zuge des Speicherns der Konfig über die Admin-Oberfläche der / entfernt wird. Wir korrigieren unser Deployment-Script.

---

Gut zu wissen, dass die Korrektur des Pfades funktioniert. Die Einschränkung des Cookie-Pfads erfolgte vor einer Weile im Zuge eines Sicherheitsupdates, welches CSRF aus dem Fragebogen heraus erlaubte. Davor funktionierten auch Pfade mit einem nachgestellten Slash.