Gravierender Fehler 5.7.9 - CSRF-Token

Ich musste eben auch 26662 bei einem Kunden deaktivieren. Shopware 6.5.x

Yep, das hilft bei mir auch.
Komisch, dass das Shopware dann nicht nachstellen kann… :face_with_raised_eyebrow:

@P.Thesing & @Michael_Telgmann

Sehr „komisch“ das Verhalten.
Gestern Abend so nach einer halben Stunde ging dann der Login unter Firefox & Android.
Jetzt wieder unter Win10 und Chrome das pure Chaos.
Was ab und zu mal geht:
/account aufrufen, alle Cookies lösche, reload - dann geht AB UND ZU mal das Login.
Browser schliessen und wieder öffnen: Nichts geht mehr - wieder auf einer Seite (login) gehen - Cookies löschen und reload - danach KÖNNTE es mal gehen.

Kein Security-Plugin, SW 5.7.10, PHP 7.4.2 - keine JS-Error, ausser dann den 400er keine Fehler in der Chrome-Konsole, keine Fehler in Server-Error-Log, keine Einstellungen in „Virtuelle Url“ und „Pfad“.

Nachtrag:
Da wir keine Tracking-Cookies etc. verwenden, sondern nur „technisch notwendige“ ist entsprechend der Cookie-Banner auch nur auf „Hinweis“ eingestellt - wenn es mit dem was zu tun haben könnte :wink:

Wir konnten nun aufgrund eines Support-Tickets herausfinden, dass das Problem mit dem HTTP-Cache zusammenhängt. Wir arbeiten momentan an einer Lösung!

2 „Gefällt mir“

Danke für die Rückmeldung.
Das würde auch erklären, warum in meinem Test- und Bastelshop bisher das Problem nicht reproduzierbar war - da habe ich den HTTP-Cache deaktiviert.

Edit: Gegencheck - CSRF wieder aktiviert und dafür HTTP-Cache deaktiviert - scheint zu funktionieren.

1 „Gefällt mir“

Auch als Update von uns nochmal: Ich kann das Problem mit Shopware 5.7.7 + Security Plugin 1.1.29 bei einem Kunden bestätigen. Auch ohne Einstellungen in „Virtuelle Url“ und „Pfad“. Der Kundenservice hatte Kundenanfragen gemeldet, bei denen kein Login mehr möglich war. Leider können wir das selbst weder in Test- noch Live-Umgebungen nachstellen. Das Deaktivieren der Option #26662 hat auf jeden Fall das Problem für die Kunden erstmal gelöst.

Wir haben jetzt teile der CSRF Änderungen reverted, was auch die HTTP-Cache-Probleme behebt.
Diese Änderung wurde auch schon durch einen Kunden getestet.
Intern werden wir nun die Änderungen noch weiter testen und voraussichtlich nächste Woche releasen.

Bei mir 5.7.10 http-cache deaktiviert, wie im workaround beschrieben und login funktioniert wieder… :sweat_smile:

Ohne http Cache ist der Shop aber nicht betreibbar, performancemäßig :wink:

Wie ist hier der Stand? Kannst du bitte außerdem einmal die Links zu den Reverts teilen?

@poncho Die Änderungen sind bereits gemerged: Commits · shopware/shopware · GitHub
Wir müssen aber heute noch etwas testen.

Gibt es den Fix dann auch für das Security Plugin?
Hier läuft noch 5.6.10.

wenn das Security Plugin installiert ist, bitte die Version 1.1.30 installieren

@all … das Update auf 5.7.11 lief bei uns ohne Probleme durch, keine Probleme mit CSRF-Token

image

1 „Gefällt mir“

Danke für die Info, ich lasse trotzdem mal andere das Update machen um zu sehen was so passiert.

PS: Es läuft ganz normal durch und solange man die 2 letzten Patches auf Nein lässt, ändert sich nichts, mehr teste ich aber auch nicht. Die Meldung geht dafür weg beim Login.

3 „Gefällt mir“

Grrr!!!

Nach Update auf die 5.7.11 haben wir den Fehler nun auch bzw. wieder.

[Nachtrag]

Das Cookie wird gar nicht gesetzt. In der lokalen Dev-Umgebung kann ich das Problem nicht nachstellen :confused:

@Michael_Telgmann

Habe ich irgendwas übersehen? Muss man irgendeinen besonderen Schritt nach dem Update machen?

Uns sind über drei Tage komplett der Umsatz weggebrochen und keiner konnte sich das erklären. Gestern rief dann ein Kunde an und berichtete von diesem Fehler.

In unserer lokalen Umgebung läuft die Protection fehlerfrei. Cookie wird gesetzt und gut ist es.
Auf dem Livesystem wird das Cookie nicht geschrieben. Alle anderen (incl. die von Analytics etc.) ja.

Heißt für mich, dass es an irgendwas an der Liveumgebung liegt. Hast du einen Tipp, wonach ich gucken kann?

Ich hab die Protection jetzt erstmal in der config auf false gesetzt aber das kann doch keine Dauerlösung sein.

Dauerlösung ist das sicher keine, aber wenn Du Dir die Daten anschaust, seit wie lange das schon ungelöst bleibt UND ist, siehst Du, wie wichtig SW Dein Umsatz ist.

Lass die Protection entweder auf aus oder schalt die Patches im Security Plugin aus. Dass das mal wieder funktionieren wird kann ich mir nicht vorstellen.

Und überhaupt, Umsatz wie Realität sind weit überbewertet :wink:

Das Security Plugin ist nicht installiert. Ich mache immer ein Versionsupdate.