CSRF Token Problem mit Adblocker

Sind beim uBlock nur Standard Listen Aktiv?

Wie ist es mit Firefox: sind die Standardeinstellung in about:config unverändert?

Bei mir ist „Https Everywhere“ schuld, nicht uBlock.

Tauchen diese Probleme erst seit der 5.2 Version auf, oder gab es die auch schon bei 5.1?

Wenn nicht Blocker oder AV, gehen wir mal eine Ebene tiefer:
Win7 64 - obiges Verhalten nicht mit Chrome und Firefox (beide ublock origin, Chrome bei Bedarf noch Adblock Plus und Ghostery) reproduzierbar

In der 5.1 gabs doch noch keine csrf protection?

Hier läuft OSX. Teste das heute abend mal unter Windows 10.

Ich kann den Fehler auch auf meinem Windows 10 Rechner nachstellen, Firefox mit ublock, auf shopwaredemo.de. Kann das tatsächlich niemand bestätigen?

csrf cookie ist gesetzt und wird beim request mitgeschickt. als antwort kommt ein “invalidate-xcsrf-token” cookie.

chrome mit ublock ebenso

OK:

  1. Chrome mit uBlock cookies von www.shopwaredemo.de entfernt
  2. wie im ersten Beitrag vorgegangen
  3. *UPS* bekommen !

Ohne uBlock geht es durch
Komisch, muss aber auch eine Kombination aus *Mysterium* - Browser - Domain & u.A. uBlock sein

Nur bei mir im Shop kommt der UPS dann nicht.

@sonic schrieb:

OK:

  1. Chrome mit uBlock cookies von www.shopwaredemo.de entfernt
  2. wie im ersten Beitrag vorgegangen
  3. *UPS* bekommen !

aktuell läuft  www.shopwaredemo.de ohne SSL, war das schon immer so?

unsere shops laufen komplett auf ssl, das kann nicht die ursache sein

@senor_dingdong schrieb:

unsere shops laufen komplett auf ssl, das kann nicht die ursache sein

ich hatte vermutet der Übergang von http nach https könnte Probleme verursachen. Da wäre evtl. eine mögliche Lösung den Shop strickt über https auszuliefern. 

Ich habe jetzt kreuz und quer rumgestestet, ich kann den Fehler auf www.shopwaredemo.de auch mit uBlock nicht 100% - eher 99% - reproduzieren.
Ohne uBlock schaffe ich es nicht, auf dem obigen Weg den *UPS* zu produzieren.
Und warum bekomme ich es auch mit uBlock auf einer anderen Seite nicht reproduziert?

Was mir auffällt: Rufe ich www.shopwaredemo.de erstmalig auf, kommt dieses Overlay mit dem Hinweis „Backend *blabla* zurücksetzen *blabla*“
Wo merkt sich der Demoshop, dass ich die Seite erstmals aufgerufen habe? Selbst wenn ich alle Kekse zu www.shopwaredemo.de lösche, kommt das Overlay erst wieder, wenn ich den Browser einmal ganz geschlossen habe. Hier werden doch noch irgendwo Dritt-Cookies gesetzt?!?

Das Overlay steckt im Session Storage, “demoOverlay-hide”.

[OT]
Ist wohl #Neuland für mich :slight_smile:
Ich habe diese Daten:


Wenn ich die alle lösche, dürfte es doch keine Session mehr geben mit diesen Daten ?!?!?

Auf deiner Mallorca Seite kann ich es auch nicht nachstellen. Auf den ersten Blick auffallend ist nur piwik statt ga.

Jo. Piwik ist Lokal
*Hmm* - wäre krude - aber vielleicht sorgt das Ausfiltern vom Piwik uBlock daran, Cookies zu vermurksen *Ich stell es mal grade ab*

 

[Edit]
Nein, auch mit Piwik „aus“ lässt sich der Fehler grad nicht sehen. Wäre auch sehr krude gewesen :wink:

Habe gerade ga deaktiviert und nochmal getestet, immer noch uups.

Was unterscheidet “uns” denn?
Der mit “Malle” hat ein auf die Hauptdomain (ohne WWW) ausgestelltes Comodo-Zertifikat, der Subshop ein Let’s Encrypt.
Beide Domains werden schon durch Apache-Config - also vor shopware.php - auf https gezwungen - also “mixed contend” nicht möglich.
Da Shared-Hosting, kein vorgelagerter Cache etc.

Im übrigen Vorzeigeeffekt: Wollte das Verhalten von shopwaredemo.de hier demonstrieren, und habe es nicht mehr hinbekommen - kein *UPS*

Wir haben auch für das nächste Release ein Ticket, indem wir das nochmal in der Demo prüfen werden. Wenn es da noch optimierungen gibt, dann fließt das da auch mit ein.

@sonic schrieb:

[OT]
Ist wohl #Neuland für mich :slight_smile:
Ich habe diese Daten:


Wenn ich die alle lösche, dürfte es doch keine Session mehr geben mit diesen Daten ?!?!?

 

In Chrome siehste das in den Entwicklertools unter Application -> Storage -> Session Storage. Vermutlich wird der nicht mitgelöscht.

1 Like