Gravierender Fehler 5.7.9 - CSRF-Token

Ich musste eben auch 26662 bei einem Kunden deaktivieren. Shopware 6.5.x

Yep, das hilft bei mir auch.
Komisch, dass das Shopware dann nicht nachstellen kann
 :face_with_raised_eyebrow:

@P.Thesing & @Michael_Telgmann

Sehr „komisch“ das Verhalten.
Gestern Abend so nach einer halben Stunde ging dann der Login unter Firefox & Android.
Jetzt wieder unter Win10 und Chrome das pure Chaos.
Was ab und zu mal geht:
/account aufrufen, alle Cookies lösche, reload - dann geht AB UND ZU mal das Login.
Browser schliessen und wieder öffnen: Nichts geht mehr - wieder auf einer Seite (login) gehen - Cookies löschen und reload - danach KÖNNTE es mal gehen.

Kein Security-Plugin, SW 5.7.10, PHP 7.4.2 - keine JS-Error, ausser dann den 400er keine Fehler in der Chrome-Konsole, keine Fehler in Server-Error-Log, keine Einstellungen in „Virtuelle Url“ und „Pfad“.

Nachtrag:
Da wir keine Tracking-Cookies etc. verwenden, sondern nur „technisch notwendige“ ist entsprechend der Cookie-Banner auch nur auf „Hinweis“ eingestellt - wenn es mit dem was zu tun haben könnte :wink:

Wir konnten nun aufgrund eines Support-Tickets herausfinden, dass das Problem mit dem HTTP-Cache zusammenhÀngt. Wir arbeiten momentan an einer Lösung!

2 Likes

Danke fĂŒr die RĂŒckmeldung.
Das wĂŒrde auch erklĂ€ren, warum in meinem Test- und Bastelshop bisher das Problem nicht reproduzierbar war - da habe ich den HTTP-Cache deaktiviert.

Edit: Gegencheck - CSRF wieder aktiviert und dafĂŒr HTTP-Cache deaktiviert - scheint zu funktionieren.

1 Like

Auch als Update von uns nochmal: Ich kann das Problem mit Shopware 5.7.7 + Security Plugin 1.1.29 bei einem Kunden bestĂ€tigen. Auch ohne Einstellungen in „Virtuelle Url“ und „Pfad“. Der Kundenservice hatte Kundenanfragen gemeldet, bei denen kein Login mehr möglich war. Leider können wir das selbst weder in Test- noch Live-Umgebungen nachstellen. Das Deaktivieren der Option #26662 hat auf jeden Fall das Problem fĂŒr die Kunden erstmal gelöst.

Wir haben jetzt teile der CSRF Änderungen reverted, was auch die HTTP-Cache-Probleme behebt.
Diese Änderung wurde auch schon durch einen Kunden getestet.
Intern werden wir nun die Änderungen noch weiter testen und voraussichtlich nĂ€chste Woche releasen.

Bei mir 5.7.10 http-cache deaktiviert, wie im workaround beschrieben und login funktioniert wieder
 :sweat_smile:

Ohne http Cache ist der Shop aber nicht betreibbar, performancemĂ€ĂŸig :wink:

Wie ist hier der Stand? Kannst du bitte außerdem einmal die Links zu den Reverts teilen?

@poncho Die Änderungen sind bereits gemerged: Commits · shopware/shopware · GitHub
Wir mĂŒssen aber heute noch etwas testen.

Gibt es den Fix dann auch fĂŒr das Security Plugin?
Hier lÀuft noch 5.6.10.

wenn das Security Plugin installiert ist, bitte die Version 1.1.30 installieren

@all 
 das Update auf 5.7.11 lief bei uns ohne Probleme durch, keine Probleme mit CSRF-Token

image

1 Like

Danke fĂŒr die Info, ich lasse trotzdem mal andere das Update machen um zu sehen was so passiert.

PS: Es lĂ€uft ganz normal durch und solange man die 2 letzten Patches auf Nein lĂ€sst, Ă€ndert sich nichts, mehr teste ich aber auch nicht. Die Meldung geht dafĂŒr weg beim Login.

3 Likes

Grrr!!!

Nach Update auf die 5.7.11 haben wir den Fehler nun auch bzw. wieder.

[Nachtrag]

Das Cookie wird gar nicht gesetzt. In der lokalen Dev-Umgebung kann ich das Problem nicht nachstellen :confused:

@Michael_Telgmann

Habe ich irgendwas ĂŒbersehen? Muss man irgendeinen besonderen Schritt nach dem Update machen?

Uns sind ĂŒber drei Tage komplett der Umsatz weggebrochen und keiner konnte sich das erklĂ€ren. Gestern rief dann ein Kunde an und berichtete von diesem Fehler.

In unserer lokalen Umgebung lÀuft die Protection fehlerfrei. Cookie wird gesetzt und gut ist es.
Auf dem Livesystem wird das Cookie nicht geschrieben. Alle anderen (incl. die von Analytics etc.) ja.

Heißt fĂŒr mich, dass es an irgendwas an der Liveumgebung liegt. Hast du einen Tipp, wonach ich gucken kann?

Ich hab die Protection jetzt erstmal in der config auf false gesetzt aber das kann doch keine Dauerlösung sein.

Dauerlösung ist das sicher keine, aber wenn Du Dir die Daten anschaust, seit wie lange das schon ungelöst bleibt UND ist, siehst Du, wie wichtig SW Dein Umsatz ist.

Lass die Protection entweder auf aus oder schalt die Patches im Security Plugin aus. Dass das mal wieder funktionieren wird kann ich mir nicht vorstellen.

Und ĂŒberhaupt, Umsatz wie RealitĂ€t sind weit ĂŒberbewertet :wink:

Das Security Plugin ist nicht installiert. Ich mache immer ein Versionsupdate.