Siehe: (Nach Update auf 5.7.8 - Navigation im Frontend (Shop) defekt - #43 von hello):
Gruss Armin
1 „Gefällt mir“
1 „Gefällt mir“
… und wir wundern uns dass keine Bestellungen mehr eingehen und wir erhebliche Verluste machen … 
Edit: der von SCOOPEX angebotene Workaround funktioniert:
Er muss in der config.php lediglich an der richtigen Position eingefügt werden.
return [
‚csrfProtection‘ => [
‚frontend‘ => false,
‚backend‘ => false
],
Hallo zusammen,
wir hatten gestern den identischen Fehler.
ABER:
nicht nach einem Shop-Update, sondern ‚nur‘ nach dem Einspielen des neuen Sicherheits-Plugins Updates unter Version 5.7.3
Nachdem wir das Sicherheits-Plugin Update 1.1.28 vom 28.04.2022 deinstalliert und die alte Version 1.1.27 wieder neu installiert haben, war das Frontend wieder erreichbar …
dann läuft der Shop wenigstens - wenn auch mit Sicherheitslücke …
Hallo @Swissness
du kannst auch im Plugin einzelne Fixes deaktivieren über die Plugin-Konfiguration. So brauchst du nicht komplett downgraden.
Viele Grüße aus Schöppingen
Michael Telgmann
Wäre schön, wenn man „hier“ auch ein wenig kommunikativer wäre.
Da zitiere ich doch mal den Michael Telgmann von Slack
we are already aware of this
we have experienced problems if you have Shopware installed in a subfolder, or you have an issue with HTTP / HTTPS configuration of the server
Wann kann man denn mit einem Fix rechnen - wieder ca. in 16 Tagen wie bei den groben Problemen mit 5.7.8?
Also: Mein Shop liegt nicht im Unterordner und mein HTTPS geht auch sauber → sollte ich keine Probleme mit 5.7.9 bei CSRF erwarten?
Also tritt der Fehler beim Einloggen nur in meiner Staging-Umgebung im Unterordner auf? Habe ich das so korrekt verstanden?
Immerhin besser als anders herum 
Entweder
- eine falsche HTTPS Weiterleitung (wenn die Seite initial über HTTP aufgerufen werden kann, und beim zweiten Klick HTTPS aufgerufen wird)
- Die Seite wird in einem Unterordner betrieben, bspw. www.domain.de/shop
Temporär kann der CSRF Tokenschutz wie oben beschrieben deaktiviert werden bis eine Lösung bereitsteht.
Eine Staging-Umgebung kann ja aufgrund eurer Plugin-Lizenz-Politik nur in einem Unterordner der eigentlichen Installation betrieben werden. Da läuft man also zwangsläufig in diesen Fehler. Nicht schön.
Hallo zusammen,
so wie Andre es beschrieben hat sind uns momentan Probleme bekannt.
Wir werden sehr wahrscheinlich heute noch ein Update liefern.
Viele Grüße aus Schöppingen
Michael Telgmann
Solltest du das nicht selbst bewerten können? Gestern meintest Du ja zu mir, als Akademiker sollte man das wohl können.
Also, auf gehts… plonk
1 „Gefällt mir“
Wir haben in diesem Fall den Punkt # 26662 in der Pluginkonfiguration deaktiviert:
Aber ganz ehrlich, ich verstehe auch nicht warum da von den Shopware Mitarbeitern nur so unnütze Antworten kommen. Warum ist das so schwer mal auf eine konkrete Lösung aufmerksam zu machen. Die Antworten kommen für uns immer so rüber:
Ihr braucht uns nicht auf Probleme aufmerksam zu machen, die wir bereits kennen. Bitte geduldet euch zwischen 1 und 999 Tagen, bis wir Lust haben uns damit zu beschäftigen, und verzichtet halt so lange auf den Shop. Uns doch egal. Die Zeitangabe ist natürlich ohne Gewähr.
Ich verstehe deinen Frust, aber genau das wurde bereits weiter oben geschrieben und ist auch nur für die eine Lösung, die das Sicherheitsplugin nutzen. (Antwort Gravierender Fehler 5.7.9 - CSRF-Token - #5 von Michael_Telgmann)
Wenn es für dich so rüber kommt tut es mir leid, wie du aber siehst sind wir hier im Forum unterwegs und reagieren schnell mit Informationen. Priorität hat nun die Lösung des Verhaltens, wie Michael sagt wird da voraussichtlich auch heute etwas erscheinen.
Unter 5.6.10 gibt es die Meldung auch beim Login mit einem bestehenden Accounts nach dem Sicherheitsfix, aber das dürfte wohl so gewollt sein, dass man sich nochmals einloggt, damit der csrf token neu generiert wird, oder?
Geht man zurück und loggt sich erneut ein, ist das ganze ok.
Probiere es mal bitte im Inkognito Fenster ob es direkt funktioniert, wenn ja liegt es bei dir noch einer alten Session.
Ja, so ist es. Auf einem fremden Gerät, nach ei em erneuten Login am selben Gerät oder im Inkognito Modus ist der Login ok.
Sorry, aber wenn Ihr das so seht, wird sich auch niemals etwas verbessern.
Die erste Antwort war ein Verweis auf den Issue Tracker. Was soll man denn als Anwender oder Admin damit anfangen? Wie lange soll das dauern, was ist die Ursache, wie kann man sich kurzfristig behelfen? Da ist absolut Null Informationsgehalt, außer wir sind dran und habt einfach zwischen 1 und 999 Tagen Geduld.
Die zweite Antwort war die Information dass man irgendwelche einzelnen Fixes deaktivieren kann. Auch hier: Was soll ein Anwender oder Admin mit der Information anfangen? Ist das so schwer sich 30 Sekunden mehr Zeit zu nehmen und einen zusätzlichen Satz oder Link zu schreiben, der auf das konkrete Problem und einen sofortigen Workaround aufmerksam macht?
1 „Gefällt mir“
Hallo ChristianK,
ganz herzlichen Dank
26662 auf NEIN setzen war tatsächlich auch in unserem alten 5.7.3 Shop die ganz einfache Lösung -
Liebe Grüsse
Hey, ein Update für das Security Plugin ist raus, dass die Probleme beheben sollte.
In wenigen Minuten sollte auch die neue Shopware Version verfügbar sein.
Exakt. Dabei könnte man darauf hinweisen dass sich alle Kunden mit Sessions neu einloggen müssen und diese Meldung nur eine Meldung ist, die mit einem neuen Login zu lösen ist, für alle Zeiten, nicht temporär. Sonst haut es einen jedes Mal vom Sessel als Shopbetreiber. Updater sind schon genug gebeutelt.
Die Idee, den Fix auf Nein zu stellen, stellt doch den ganzen Sicherheitspatch wieder auf den Kopf, wird zwar wohl helfen, aber gelöst ist dabei nichts, was man ja wohl auch weiß bei Shopware.