29.09.2007, 15:11:56
Die Session wird dann eben bei der Abmeldung nicht korrekt gelöscht. Im Grunde das gleiche wie wenn Du den Browser einfach schließt, ohne Dich vorher abzumelden. Da eine Session aber nur so lange gültig ist wie Du in der Konfiguration angegeben hast, dürfte das kein Sicherheitsproblem darstellen. Dieser Wert sollte eh nicht höher als 10 Minuten (600 Sekunden) sein, da man sich sowieso nicht so lange im Adminbereich aufhält.
Wenn Du ganz sicher gehen willst kannst Du aber in der admin.php auch
durch
ersetzen. Dann dürfte das Problem behoben sein. Wenn es sich denn tatsächlich um diesen Fehler in PHP handelt. Der Nachteil daran ist, dass die Session ID dann nicht bei jedem Aufruf neu generiert wird, wodurch es leichter für einen Angreifer wird eine Session zu "übernehmen".
Wenn Du ganz sicher gehen willst kannst Du aber in der admin.php auch
Code:
session_regenerate_id();
Code:
//session_regenerate_id();