2019-02-21T07:53:23 rosti

Ne issses nicht: Ihr habt vergessen den Secure-Parameter im Cookie zu setzen. So ist meine Anmeldung unter HTTP auch auf HTTPS gültig und das darf gar nicht sein.

Kannst du bitte beschreiben, wie du bei der Anmeldung vorgehst?
Der secure Parameter ist gesetzt. Gehe ich auf HTTP, bin ich nicht mehr eingeloggt.
Wenn das bei dir nicht der Fall ist, machst du irgendwas anders.

Edit: Ach, ich lese gerade, dass du es andersherum meintest.
Login über HTTP ist auch in HTTPS gültig.
Also ich kann nur sagen, dass der secure-Parameter auf 1 oder 0 gesetzt wird, abhängig davon, wie die Seite aufgerufen wird.
Wenn du dich über HTTP einlogst, würde ich aber sagen, ist da schon das Problem.

Edit 2: Ich kann auch nichts darüber finden, dass das secure Flag andersherum genauso funktionieren soll. Es ist dafür da, Cookies mit gesetztem Flag nicht über HTTP zu übertragen. Ich lese jedoch nichts davon, dass Cookies ohne das Flag nicht über HTTPS übertragen werden sollen.

Also bitte ich um Aufklärung deinerseits, was nun genau das Problem ist. Bin über Bug-Reports durchaus dankbar.
Last edited: 2019-02-21 09:56:14 +0100 (CET)