Gravierender Fehler 5.7.9 - CSRF-Token

Bei uns funktioniert es seit dem letzten Update wieder zuverlässig. Aber bevor man Umsatz verliert, würde ich sicherheitshalber die CSRF Protection in der config deaktivieren. Einfacher Testcase: Login mit einem Testuser im Frontend. Wenn das nicht geht, ausschalten.

Ok, jetzt wird’s verrückt:

Ich habe im Livesystem gerade testweise den http-Cache deaktiviert, die Caches gelöscht, ein Reload gemacht und habe das Cookie.

Und das Cookie wird nun auch geschrieben, wenn ich den http-Cache wieder aktiviere. Einloggen mit dem Testuser geht problemlos.

Ich mache das Versionsupdate auf der Console. Dabei werden auch alle Caches gelöscht. Was also ist hier gerade passiert?

Fehler ist auch hier noch da, Shopversion 5.6.10 und Security Plugin 1.1.30.
So ein Mist.

Ausschalten und gut is.

Teste mal:

  1. http-Cache im Backend ausschalten
  2. alle Caches löschen
  3. Templates neu rendern
  4. Seitenreload
  5. http-Cache wieder einschalten

Danach war bei mir der Fehler dann weg und ist seit dem auch nicht mehr aufgetreten. Offenbar ist das temporäre Abschalten des http-Cache wohl der Knackpunkt.

Ist der Fehler dann für dich weg, oder für alle?

Für alle. Umsatz ist wieder wie vor dem Fehler :slight_smile:

Hi @Michael_Telgmann,
ich stelle fest, dass es bei den Sprachshops das Feld „Pfad“ gar nicht gibt und man somit das Feld virtuelle URL benutzen muss.
Wie passt das zusammen?
Liebe Grüße

Wir haben aktuell den Fehler vermehrt in Shopware 5.6.6. - wir haben alles mögliche getestet (verschiedene Safari Versionen, mit und ohne Security Plugin) .

Hat bei euch ein Update auf 5.7 wirklich was gebracht was die CSRF Token Problematik angeht?

Ich finde leider keinen wirklich nachvollziehbaren Weg, wo der Fehler ganz klar reporduzierbar ist.
Das einzige was man grob sagen ist, dass es an Safari liegt - aber völlig sporadisch. Mal ist er da, mal ist er nicht da. Das ist wie würfeln und kompletter Zufall

Desktop + iPhone intensiv getestet:
Safari 15.3 > fehler kommt nicht vor
Safari 15.2 - Fehler kommt vor
Safari 15.5 > Fehler kommt vor

Safari neu gestartet, Cache geleert, Cookies geleert > Fehler kommt manchmal, manchmal kommt er nicht

Laut Shopware liegt es am Security Plugin in Verbindung mit einem anderen Plugin.
Allerdings lässt sich ohne genau nachzuvollziehen (reporduzierbarer Weg) leider das ganze nicht stärker eingrenzen.

Das mit dem http-cache habe ich getestet, hat in Shopware 5.6.6 aber keine Auswirkung
Der Fehler kommt dann trotzdem (wenn er gerade kommt).

Die CSRF Option zu deaktivieren finde ich mutig, das wird von Shopware auch nicht empfohlen.

Verschiedene Safari Settings (Ad Blocker, IP Blocker etc.) getestet, hat auch keine Auswirkung.

Freue mich über jeden Tipp

Bei uns läuft es seit der 5.7.11 stabil und der Fehler tritt nicht mehr auf. Wie man dem Changelog entnehmen kann, war die Session Validierung der Grund für den Fehler und diese ist seit 5.7.11 wieder deaktiviert.

Wir haben auch nur im Safari das Problem.
Reproduzierbar in Version 5.6.10
Safari neu öffnen - User anmelden (funktioniert) - User abmelden - ab dann wird jeder Versuch ein Formular zu senden (Login / Registrieren) mit einem Invalid Token bestraft.

Ein Kunde von mir bekommt seit dem Update von 5.7.7 auf 5.7.14 gehäuft Meldungen zu „Invalid form token“, z. B. zuletzt:

Good morning from Australia!
I am trying to complete a sale on your website however when I try to checkout from the payment and shipping page I get the screen shot below and cannot progress any further. I have tried many times with the same result.
Are you able to help?

[Bild kann leider nicht hochgeladen werden … ?
Text:
Invalid form token!
The action could not be completed due to a missing form token.
A new form token has been generated.
Please return …
]

Es scheint sich auch hier vor allem um Käufer mit Safari zu handeln - zumindest die, die sich gemeldet haben. Da aber viele aus dem australisch / amerikanischen Raum kommen kann das auch Zufall sein.

Ich selbst konnte das Verhalten mit Safari nicht nachvollziehen.

Dann schalt das ganze doch einfach aus, in der config oder im Sicherheitsplugin, wurde schon x-mal hier erwähnt.

Klar kann ich das ausschalten. Aber statt den CSRF-Schutz auszuhebeln wäre es sicher sinnvoller, wenn das Problem, dass hier wohl schon seit Jahren rumgeistert endgültig behoben wird.
Und das passiert wahrscheinlich nur, wenn genügend Leute Probleme melden.

Dann wäre es wohl schon behoben worden, oder? Wie Du sagst, seit Jahren…

Hallo zusammen, bei einem unserer Kunden ist dieses Phänomen jetzt aufgetaucht. Wir haben daraufhin den Fix für die 26662 deaktiviert. Die Frage, die jetzt aufkam ist, ob man das so weiterlaufen lassen kann? Wie sicherheitskritisch ist das? Ist bekannt, was genau das Problem verursacht hat, also können wir irgendwas machen, damit wir den Fix wieder aktivieren können und der Shop trotzdem läuft? (Ich habe hier was gelesen von Shops, die im Unterverzeichnis laufen. Das ist hier tatsächlich der Fall. Aber ich habe nicht ganz verstanden, wie das mit dem Fix zusammenhängt und wie man das Problem dann löst).

Viele Grüße,
Malte