Sitzungsüberprüfung

Adobe Commerce und Magento Open Source ermöglichen die Validierung von Session-Variablen als Schutzmaßnahme gegen mögliche Session-Fixierungs-Angriffe oder Versuche, Benutzersitzungen zu vergiften oder zu entführen. Die Einstellungen für die Sitzungsvalidierung legen fest, wie Sitzungsvariablen bei jedem Ladenbesuch validiert werden und ob die Sitzungs-ID in die URL des Ladens aufgenommen wird.

Technische Informationen finden Sie unter Use Redis for session storage in der Entwicklerdokumentation.

Allgemeine Konfiguration - Web-Session-Validierung Session Validation Einstellungen

Die Validierung prüft, ob die Besucher die sind, für die sie sich ausgeben, indem sie den Wert in den Validierungsvariablen mit den Sitzungsdaten vergleicht, die bereits in $_SESSION Daten für den Benutzer gespeichert sind. Die Validierung schlägt fehl, wenn die Informationen nicht wie erwartet übermittelt werden und die entsprechende Variable leer ist. Je nach den Einstellungen für die Sitzungsvalidierung wird die Client-Sitzung sofort beendet, wenn eine Sitzungsvariable den Validierungsprozess nicht besteht.

Die Aktivierung aller Validierungsvariablen kann dazu beitragen, Angriffe zu verhindern, kann aber auch die Leistung des Servers beeinträchtigen. Standardmäßig ist die Validierung aller Sitzungsvariablen deaktiviert. Wir empfehlen Ihnen, mit den Einstellungen zu experimentieren, um die beste Kombination für Ihre Adobe Commerce- oder Magento Open Source-Installation zu finden. Die Aktivierung aller Validierungsvariablen könnte sich als unangemessen restriktiv erweisen und den Zugang von Kunden verhindern, deren Internetverbindungen über einen Proxy-Server laufen oder hinter einer Firewall liegen. Weitere Informationen über Sitzungsvariablen und ihre Verwendung finden Sie in der Systemadministrationsdokumentation für Ihr Linux-System.

Konfigurieren Sie die Einstellungen für die Sitzungsvalidierung

  1. Gehen Sie in der Seitenleiste von Admin zu Speicher > Einstellungen > Konfiguration.

  2. Erweitern Sie in der linken Leiste Allgemein und wählen Sie Web.

  3. Erweitern Sie Erweiterungsselektor den Abschnitt Session Validation Settings.

  4. Legen Sie jede der Konfigurationsoptionen fest:

    • Validate REMOTE_ADDR - Auf Yes setzen, um zu überprüfen, ob die IP-Adresse einer Anfrage mit der in der Variablen $_SESSION gespeicherten übereinstimmt.

    • Validate HTTP_VIA - Setzen Sie diese Option auf Ja, um zu überprüfen, ob die Proxy-Adresse einer eingehenden Anfrage mit dem übereinstimmt, was in der Variablen $_SESSION gespeichert ist.

    • Validate HTTP_X_FORWARDED_FOR - Auf setzen. Ja, um zu überprüfen, ob die weitergeleitete Adresse einer Anfrage mit dem übereinstimmt, was in der Variablen $_SESSION gespeichert ist.

    • Validate HTTP_USER_AGENT - Auf setzen. Ja, um zu überprüfen, ob der Browser oder das Gerät, mit dem während einer Sitzung auf den Shop zugegriffen wird, mit dem übereinstimmt, was in der Variablen $_SESSION gespeichert ist.

  5. Wenn Sie fertig sind, klicken Sie auf Save Config.