Gravierender Fehler 5.7.9 - CSRF-Token

Siehe: (Nach Update auf 5.7.8 - Navigation im Frontend (Shop) defekt - #43 von hello):

Gruss Armin

Hallo Armin,

wir sind schon dran Shopware Issuetracker

Viele GrĂŒĂŸe aus Schöppingen
Michael Telgmann

1 Like


 und wir wundern uns dass keine Bestellungen mehr eingehen und wir erhebliche Verluste machen 
 :confused:

Edit: der von SCOOPEX angebotene Workaround funktioniert:

image

Er muss in der config.php lediglich an der richtigen Position eingefĂŒgt werden.

return [
‚csrfProtection‘ => [
‚frontend‘ => false,
‚backend‘ => false
],

Hallo zusammen,
wir hatten gestern den identischen Fehler.
ABER:
nicht nach einem Shop-Update, sondern ‚nur‘ nach dem Einspielen des neuen Sicherheits-Plugins Updates unter Version 5.7.3
Nachdem wir das Sicherheits-Plugin Update 1.1.28 vom 28.04.2022 deinstalliert und die alte Version 1.1.27 wieder neu installiert haben, war das Frontend wieder erreichbar 

dann lĂ€uft der Shop wenigstens - wenn auch mit SicherheitslĂŒcke 


Hallo @Swissness

du kannst auch im Plugin einzelne Fixes deaktivieren ĂŒber die Plugin-Konfiguration. So brauchst du nicht komplett downgraden.

Viele GrĂŒĂŸe aus Schöppingen
Michael Telgmann

WĂ€re schön, wenn man „hier“ auch ein wenig kommunikativer wĂ€re.
Da zitiere ich doch mal den Michael Telgmann von Slack

we are already aware of this :slightly_smiling_face:
we have experienced problems if you have Shopware installed in a subfolder, or you have an issue with HTTP / HTTPS configuration of the server

Wann kann man denn mit einem Fix rechnen - wieder ca. in 16 Tagen wie bei den groben Problemen mit 5.7.8?

Also: Mein Shop liegt nicht im Unterordner und mein HTTPS geht auch sauber → sollte ich keine Probleme mit 5.7.9 bei CSRF erwarten?

Also tritt der Fehler beim Einloggen nur in meiner Staging-Umgebung im Unterordner auf? Habe ich das so korrekt verstanden?
Immerhin besser als anders herum :frowning:

Entweder

  • eine falsche HTTPS Weiterleitung (wenn die Seite initial ĂŒber HTTP aufgerufen werden kann, und beim zweiten Klick HTTPS aufgerufen wird)
  • Die Seite wird in einem Unterordner betrieben, bspw. www.domain.de/shop

TemporÀr kann der CSRF Tokenschutz wie oben beschrieben deaktiviert werden bis eine Lösung bereitsteht.

Eine Staging-Umgebung kann ja aufgrund eurer Plugin-Lizenz-Politik nur in einem Unterordner der eigentlichen Installation betrieben werden. Da lÀuft man also zwangslÀufig in diesen Fehler. Nicht schön.

Hallo zusammen,

so wie Andre es beschrieben hat sind uns momentan Probleme bekannt.

Wir werden sehr wahrscheinlich heute noch ein Update liefern.

Viele GrĂŒĂŸe aus Schöppingen
Michael Telgmann

Solltest du das nicht selbst bewerten können? Gestern meintest Du ja zu mir, als Akademiker sollte man das wohl können.

Also, auf gehts
 plonk

1 Like

Wir haben in diesem Fall den Punkt # 26662 in der Pluginkonfiguration deaktiviert:

Aber ganz ehrlich, ich verstehe auch nicht warum da von den Shopware Mitarbeitern nur so unnĂŒtze Antworten kommen. Warum ist das so schwer mal auf eine konkrete Lösung aufmerksam zu machen. Die Antworten kommen fĂŒr uns immer so rĂŒber:
Ihr braucht uns nicht auf Probleme aufmerksam zu machen, die wir bereits kennen. Bitte geduldet euch zwischen 1 und 999 Tagen, bis wir Lust haben uns damit zu beschĂ€ftigen, und verzichtet halt so lange auf den Shop. Uns doch egal. Die Zeitangabe ist natĂŒrlich ohne GewĂ€hr.

Ich verstehe deinen Frust, aber genau das wurde bereits weiter oben geschrieben und ist auch nur fĂŒr die eine Lösung, die das Sicherheitsplugin nutzen. (Antwort Gravierender Fehler 5.7.9 - CSRF-Token - #5 von Michael_Telgmann)

Wenn es fĂŒr dich so rĂŒber kommt tut es mir leid, wie du aber siehst sind wir hier im Forum unterwegs und reagieren schnell mit Informationen. PrioritĂ€t hat nun die Lösung des Verhaltens, wie Michael sagt wird da voraussichtlich auch heute etwas erscheinen.

Unter 5.6.10 gibt es die Meldung auch beim Login mit einem bestehenden Accounts nach dem Sicherheitsfix, aber das dĂŒrfte wohl so gewollt sein, dass man sich nochmals einloggt, damit der csrf token neu generiert wird, oder?

Geht man zurĂŒck und loggt sich erneut ein, ist das ganze ok.

Probiere es mal bitte im Inkognito Fenster ob es direkt funktioniert, wenn ja liegt es bei dir noch einer alten Session.

Ja, so ist es. Auf einem fremden GerÀt, nach ei em erneuten Login am selben GerÀt oder im Inkognito Modus ist der Login ok.

Sorry, aber wenn Ihr das so seht, wird sich auch niemals etwas verbessern.
Die erste Antwort war ein Verweis auf den Issue Tracker. Was soll man denn als Anwender oder Admin damit anfangen? Wie lange soll das dauern, was ist die Ursache, wie kann man sich kurzfristig behelfen? Da ist absolut Null Informationsgehalt, außer wir sind dran und habt einfach zwischen 1 und 999 Tagen Geduld.
Die zweite Antwort war die Information dass man irgendwelche einzelnen Fixes deaktivieren kann. Auch hier: Was soll ein Anwender oder Admin mit der Information anfangen? Ist das so schwer sich 30 Sekunden mehr Zeit zu nehmen und einen zusÀtzlichen Satz oder Link zu schreiben, der auf das konkrete Problem und einen sofortigen Workaround aufmerksam macht?

1 Like

Hallo ChristianK,

ganz herzlichen Dank

26662 auf NEIN setzen war tatsÀchlich auch in unserem alten 5.7.3 Shop die ganz einfache Lösung -

Liebe GrĂŒsse

Hey, ein Update fĂŒr das Security Plugin ist raus, dass die Probleme beheben sollte.
In wenigen Minuten sollte auch die neue Shopware Version verfĂŒgbar sein.

Exakt. Dabei könnte man darauf hinweisen dass sich alle Kunden mit Sessions neu einloggen mĂŒssen und diese Meldung nur eine Meldung ist, die mit einem neuen Login zu lösen ist, fĂŒr alle Zeiten, nicht temporĂ€r. Sonst haut es einen jedes Mal vom Sessel als Shopbetreiber. Updater sind schon genug gebeutelt.

Die Idee, den Fix auf Nein zu stellen, stellt doch den ganzen Sicherheitspatch wieder auf den Kopf, wird zwar wohl helfen, aber gelöst ist dabei nichts, was man ja wohl auch weiß bei Shopware.