Анекдотично, я включил это для сотен веб-сайтов в моей карьере, которые использовали HTTPS, и никогда не заставляли его регистрировать всех.
Эти настройки .ini обычно применяются к новым файлам cookie сеанса, а флаг secure
предназначен для браузеров, чтобы они не передавали HTTP. Он не должен иметь никаких ретроактивных последствий.
Код для session_start()
вызывает функцию C, называемую php_session_start()
которая (в большинстве случаев) checks $_COOKIE
.
Код для обработки файлов cookie: SAPI-dependent, но не содержит никакой конкретной логики для «если secure
не был установлен, отбросьте его сейчас, когда мы его ожидаем».
Запрет на какой-то странный код SAPI, который содержит эту логику, наиболее вероятно, что файлы cookie больше не отправляются на конечные точки HTTP, которые не имеют HTTPS, поэтому кажется, что пользователи выходят из системы (но только если они не являются используя HTTPS везде).
Короче:
- Нет, это не пользователей выйти из системы, если они не не просматривают через HTTPS (что они должны делать)
- Однако, если это является происходит , временное неудобство стоит выгоды безопасности.
Не могли бы вы рассказать об этом немного или перечислить ресурс? – Tieme
У меня была конкретная проблема месяц назад. Поэтому я нашел это на жестком пути :) –