Unzählige Fehlermeldungen wegen Bots? Warum gibt es kein Spam/Zugriffsfilter? Wie sicher ist 5.3.4 ?

Shopware 5 Programmierung
1

Der Shop spukt in letzter Zeit massiv Fehler aus und wir können nichts dagegen machen. Das E-Mail Postfach wird geflutet mit Fehlermeldungen.  Was kann man dagegen tun? Warum werden die Fehlermeldungen a) nicht an eine separate E-Mail verschickt weil sie mit dem Verkauf nichts zu tun haben und wieso werden diese Angriffe nicht von der Software abgefangen oder als Spam blockiert? Weil diese Botangriffe scheinen den ganzen Shop zu blockieren und für den eigentlichen Kunden ist der Shop dann zu langsam oder geht gar nicht mehr?
Anbei die häufigsten Fehler gibt es dazu eine Erklärung bzw. Ursache?:

Shopware\Components\CSRFTokenValidationException: The provided X-CSRF-Token for path „/csrftoken“ is invalid. Please go back, reload the page and try again. in /www/htdocs/xxx/engine/Shopware/Components/CSRFTokenValidator.php:155
Stack trace:
#0 /www/htdocs/xxx/engine/Library/Enlight/Event/Handler/Default.php(91): Shopware\Components\CSRFTokenValidator->checkFrontendTokenValidation(Object(Enlight_Controller_ActionEventArgs))
#1 /www/htdocs/xxx/engine/Library/Enlight/Event/EventManager.php(214): Enlight_Event_Handler_Default->execute(Object(Enlight_Controller_ActionEventArgs))
#11 /www/htdocs/xxx/shopware.php(118): Shopware\Components\HttpCache\AppCache->handle(Object(Symfony\Component\HttpFoundation\Request))
#12 {main}
2017-12-02T06:54:36.561827+0100
core
{
    „uri“: „/csrftoken“,
    „method“: „OPTIONS“,
    „query“: {
        „module“: „frontend“,
        „controller“: „csrftoken“,
        „action“: „index“
    },
    „post“:
}
No session data available
1
MEINE_WEBSEITE

Shopware\Components\CSRFTokenValidationException: The provided X-CSRF-Token for path „/register/saveRegister/sTarget/account/sTargetAction/index“ is invalid. Please go back, reload the page and try again. in /www/htdocs/xxx/engine/Shopware/Components/CSRFTokenValidator.php:155
Stack trace:
#0 /www/htdocs/xxx/engine/Library/Enlight/Event/Handler/Default.php(91): Shopware\Components\CSRFTokenValidator->checkFrontendTokenValidation(Object(Enlight_Controller_ActionEventArgs))
#1 /www/htdocs/xxx/engine/Library/Enlight/Event/EventManager.php(214): Enlight_Event_Handler_Default->execute(Object(Enlight_Controller_ActionEventArgs))
#2 /www/htdocs/xxx/engine/Library/Enlight/Controller/Action.php(142): Enlight_Event_EventManager->notify(‚Enlight_Control…‘, Object(Enlight_Controller_ActionEventArgs))
#3 /www/htdocs/xxx/engine/Library/Enlight/Controller/Dispatcher/Default.php(530): Enlight_Controller_Action->dispatch(‚saveRegisterAct…‘)

#12 /www/htdocs/xxx/engine/Shopware/Components/HttpCache/AppCache.php(116): Symfony\Component\HttpKernel\HttpCache\HttpCache->handle(Object(Symfony\Component\HttpFoundation\Request), 1, true)
#13 /www/htdocs/xxx/shopware.php(118): Shopware\Components\HttpCache\AppCache->handle(Object(Symfony\Component\HttpFoundation\Request))
#14 {main}
2017-11-26T18:35:36.859646+0100
core
{
    „uri“: „/register/saveRegister/sTarget/account/sTargetAction/index“,
    „method“: „POST“,
    „query“: {
        „module“: „frontend“,
        „controller“: „register“,
        „action“: „saveRegister“,
        „sTarget“: „account“,
        „sTargetAction“: „index“
    },
    „post“: {
        „register“: {
            „personal“: {
                „customer_type“: „business“,
                „salutation“: „mr“,
                „firstname“: „Steve“,
                „lastname“: „vigorda“,
                „accountmode“: „0“,
                „email“: „gaus24@yeah.net“,
                „phone“: „1-732-7958856“,
                „birthday“: {
                    „day“: „9“,
                    „month“: „1“,
                    „year“: „1944“
                }
            },
            „billing“: {
                „company“: „apple“,
                „department“: „12“,
                „vatId“: „12“,
                „street“: „2201 Ridges Road“,
                „additionalAddressLine1“: „12“,
                „additionalAddressLine2“: „12“,
                „zipcode“: „54202“,
                „city“: " Baileys Harbor ",
                „country“: „27“,
                „shippingAddress“: „1“
            },
            „shipping“: {
                „salutation“: „mr“,
                „company“: „apple“,
                „department“: „12“,
                „firstname“: „Steve“,
                „lastname“: „Holland“,
                „street“: „2201 Ridges Road“,
                „additionalAddressLine1“: „12“,
                „additionalAddressLine2“: „12“,
                „zipcode“: „54202“,
                „city“: " Baileys Harbor ",
                „country“: „11“
            }
        },
        „captchaName“: „honeypot“,
        „Submit“: „“
    }
}
No session data available
1
MEINE_WEBSEITE

2

Hallo,

Shopware fängt das ja genau ab! Exakt was du willst macht Shopware. Es gibt ja diverse Sicherungen die greifen. Das du zusätzlich eine Mail bekommst, kannst du ja wieder deaktivieren. Im Standard wird die nicht verschickt! Fehler kannst du auch bequem im Backend in den Logs einsehen. 

Also generell ist da kein Problem und wird ja abgefangen. So wie ich das sehe, ist auch eine Captcha Methode aktiv und somit kommen keine Bot Anmeldungen durch.

Du willst die Besucher ja schon vorher abfangen. Das hat dann ja erstmal nichts mit Shopware zu tun. Du kannst beispielsweise in die Serverlogs schauen von welcher IP der Bot kommt und diese IP dann global sperren oder eine andere zusätzlich Hosting/Serverlösungen dagegen evaluieren.

Shopware und Sicherheitsseitig ist da aber erstmal kein Problem vorhanden

Sebastian

3
  1. Aber wenn das richtig und normal wäre, weshalb wird dieser Fehler dann als Kritisch angesehen und gemeldet?

CRITICAL

  1. Die Fehlermeldungen zeigen aber, dass möglicherweise Kunden einen Fehler angezeigt bekommen, neu laden sollen und vielleicht aus dem Shop fliegen?
    The provided X-CSRF-Token for path „/csrftoken“ is invalid. Please go back, reload the page and try again.

    core

    {

        „uri“: „/csrftoken“,

        „method“: „OPTIONS“,

        „query“: {

            „module“: „frontend“,

            „controller“: „csrftoken“,

            „action“: „index“

        },

        „post“:

    }

    No session data available

  2. Also bekommen alle Shops im Hintergrund diese Fehlermeldung, werden nur nicht angezeigt weil sie unter Grundeinstellungen/System/Log „Fehler an Shopbetreiber melden:“ „NEIN“ gelassen haben, was vermutlich wenig hilfreich ist um sicherstellen zu können, dass nicht plötzlich nach einem Update der Shop zerschossen ist. Zum Glück gibts endlich den Punkt: an andere mail Adresse senden, um den Shop nicht zu vermüllen.

  3. Jeder Shopbetreiber MUSS das aber wissen, sonst wird der Fehler verschleppt und wird unreparabel. Wenn also dieser Token Fehler „Normal“ sein soll dann darf er in der Kategorie „Error“ und „Warning“ nicht mehr erscheinen und wir möchten diesen auch nicht mehr sehen. Welche Auswahl muss vorgesehen werden damit nur die echten Katastrophen sofort ALARM schlagen? Bisher war die Einstellung auf: „Error“
    Es gibt die Abstufung Loglevel : Debug, Info, Notice, Warning, Error, Critical, Alert, Emergency

  4. Wo wird die Funktion und Wirkungsweise der Einstellungen erläutert, das Fragezeichen ist da keine Hilfe? LINK ?

4

Die Mails musst du individuell beurteilen. Es kann ein kritischer Fehler sein, muss aber nicht. Das kann Shopware dir nicht abnehmen, da man nicht weiß ob Bot oder bspw. Fehler im JavaScript was die Tokenvergabe verhindern. Du wirst informiert und musst das prüfen. Eine vernünftige Bot Erkennung gibt es ohnehin nicht, die können sich auch als User ausgeben.

Wenn du deinen Shop professionell monitoren willst, gibt es genug externe Programme/Dienste die dafür gedacht sind. Shopware schickt dir jeden Fehler - in diesem Fall kann es einer sein, muss es aber nicht.

Eine individuelle Beurteilung ist immer unabdingbar.

1 „Gefällt mir“
5

 

Eine individuelle Beurteilung ist immer unabdingbar.

Wie wärs die Fragen zu beantworten? Das würde schonmal helfen. Ganz einfach nacheinander 1, 2, 3, 4, 5

6

Wir wärs einfach mal auf die vorhandenen Buttons zu klicken und in den DevDocs und in der Doku selber zu gucken? ganz einfach 1. 2. 3.

http://bfy.tw/ILtHhttp://bfy.tw/ILtJ

7

Wir wollten nicht programmieren lernen :wink: oder die Tiefe des Systems beackern. Eine Lösung und Antwort auf konkrete Fragen darf man erwarten?
Wo genau ist die Abhandlung auf DEUTSCH nachzulesen? (Link)
Eine Antwort wie: Sie müssen das Level … einstellen oder der Fehler ist tatsächlich kritisch und kann mit dem downloadbaren Tool (Link) geprüft und repariert werden, wäre angebracht.
Oder ich verstehe nicht wie es sein kann das im “Error” Level diese Meldungen erscheinen, da sie dort nicht hingehören… ich werde Korrektur veranlassen…
Also wie ist zu verfahren um diesen Fehler der am Tag ca. 10 mal auftritt zu beseitigen? Danke

8

@happy schrieb:

Eine Lösung und Antwort auf konkrete Fragen darf man erwarten?

Hier sind alle freiwillig in ihrer Freizeit. Du solltest Dankbar für jede Antwort sein. Eine Community basiert auf Geben und Nehmen und nicht Fordern.

Benutze die Forensuche oder frag freundlich nach. Du wirst selten eine komplette Antwort bekommen, du musst da schon selbst mitforschen - vorkauen wird dir das hier niemand. Ich hab das geschrieben was du wissen musst- alles weitere kann man sich zusammen suchen. 

4 „Gefällt mir“
9

Ich finde sogar [@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski “Moritz Naczenski”)‍ hat dir alle Fragen bis auf die 5 korrekt beantwortet. Und die sollte, wenn du dir FÜR DEINEN FALL im klaren bist wie DU die Punkte 1-4 bewerten musst, keine Rolle mehr spielen.