Probleme bei Kundenaccount im Frontend "Forbidden"

Hallo,

momentan habe ich bei einem meiner shops das Problem, dass im Kundenaccount im Frontend bei dem Punkt “Persönliches Profil” folgender Fehler angezeigt wird:

 

Forbidden

You don’t have permission to access /checkout/info on this server.

 

Die gleiche Nachricht bekommt man dann eben auch für alle anderen Seiten. Wenn man anschließend die Startseite eingibt, wird die Apache default Page angezeigt. Um die Seite wieder normal zu sehen, muss man erst die Cookies lim Browser löschen, dann geht das wieder. Das gleiche Problem kommt auch bei einem frisch installierten Demoshop.

Leider komme ich auf keine Lösung. Kann mir jemand bitte helfen? Danke im Voraus.

Gibt es bei dir einen Ordner “checkout” im Public Verzeichnis? Wenn ja, der müsste da weg.

Ansonsten kann ich mir nur vorstellen, dass bei dir mod_rewrite fehlt

Web Application Firewall (ModSecurity) hat diesen Fehler erzeugt. Wir haben diesen deaktiviert, jetzt funktioniert es. Es hat einen halben Tag gedauert, bis wir auf die Idee kamen, mal die Logfiles zu überprüfen.

1 Like

Hallo,
ist zwar schon alt, aber leider besteht das Problem noch immer. Nutze 6.4.8.1
Erst bei deaktivieren von Web Application Firewall, funktioniert es wieder. Aber kann ja keine Lösung sein, die Firewall zu deaktivieren.
Bei mir nützt auch das Löschen der Cookies nicht. Habe folgenden Fehler in der Log:

" [client 91.xx.xxx.xxx] ModSecurity: Access denied with code 403 (phase 2). Matched phrase „.profile“ at REQUEST_COOKIES_NAMES:csrf[frontend.account.profile.save]. [file „/etc/apache2/modsecurity.d/rules/comodo_free/08_Global_Other.conf“] [line „57“] [id „210580“] [rev „2“] [msg „COMODO WAF: OS File Access Attempt||www.xxxxx.de|F|2“] [data „Matched Data: .profile found within REQUEST_COOKIES_NAMES:csrf[frontend.account.profile.save]: csrf[frontend.account.profile.save]“] [severity „CRITICAL“] [tag „CWAF“] [tag „Other“] [hostname „www.xxxxx.de“] [uri „/“] [unique_id „Yg9SJLFQIJnTpTaQFFpmlAAAAFc“]

Gibt es eine Lösung?
Danke!

Hallo Karl,

ich lese aus dem Log-Eintrag heraus, dass ModSecurity das Wort „profile“ nicht gefällt. So eine Firewall muss ja auch mit Regeln gefüttert werden - offensichtlich war hier jemand etwas übereifrig :slight_smile:

danke für die Antwort. Ehrlich gesagt kenne ich mich nicht so wirklich aus, wie ich welche Regeln dort formulieren soll. Hab eben einfach den Shop auf den Webspace installiert nach Anleitung, da war ja nichts erwähnt, dass noch eine Web Application Firewall konfiguriert werden muss.
Hoffe es kann mir jemand helfen wie ich welche Regel dort aufstellen muss damit der Fehler verschwindet.

Hallo Karl,

in deinem Posting führt der Link /etc/apache2/modsecurity.d/rules/comodo_free/09 zu einer Login-Seite für ein Plesk-Verwaltungstool. Dort kannst Du wahrscheinlich ein Ruleset für die modsecurity WAF auswählen.

Hier findest Du die Doku für Plesk-Obsidian, ich weiß nicht, ob es bei dir genauso aussieht. Das hängt von deinem Webspace ab. Frag am besten den Hostinganbieter: Web Application Firewall (ModSecurity) | Plesk Obsidian documentation

In der Doku ist das Ruleset von Comodo ausgewählt und das dürfte bei dir ebenfalls der Falls ein. Das kannst Du offensichtlich nicht verwenden, wie @marco.steinhaeuser dir es schon geschrieben hat. Probiere es mit einem weniger „aggressiven“ Ruleset. In der Anleitung kann Shopware nicht jede individuelle Sonderkonfiguration berücksichtigen.

1 Like

Hallo,
ok vielen Dank für die Hilfe, kann bei mir leider nur das Rulset Comodo nutzen (keine anderen zur Auswahl), aber habe die Regel-ID 210580 aus der Fehlermeldung deaktiviert. Jetzt funktioniert es.

1 Like