Versuch eines Sammelthreads zu X-CSRF-Token / Validierungsproblem

Wir können natürlich jetzt über das “hätte, würde, könnte” diskutieren oder einfach konstruktiv zusammen an einer Lösung arbeiten. Meine Kollegen schauen sich die Probleme, die uns über den Issuetracker gemeldet werden an. Wenn es dort Probleme gibt, werden diese mit dem nächsten Update behoben. Wenn ihr einen Fehler habt, ist die Reproduzierbarkeit das wichtigste, das könnt ihr auch gerne in diesem Tickets ergänzen.

@myartstore schrieb:

Vorher lag es nach Info Dritter immer angeblich an irgendwelchen Plugins oder individuellen Änderungen durch den Shopinhaber. 

bis zur Version 5.2.17 war es auch so. 

Das mit dem Umsatz ist blöd, aber die Updategeilheit vieler verstehe ich auch nicht. Ich würde niemals produktiv die neuesten Versionen fahren.

3 Likes

Nun, als Shopbetreiber ist der „Update-Button“ aber auch echt verführerisch. Und man kann ja nur die aktuellste Version updaten. Problem ist ja nur, das seitens Shopware hier ich muß es so sagen: NICHTS PASSIERT IST und selbst Supporttickets waren nur Arbeit für mich und keine Lösung.

Updategeil wären wir nicht, wenn man im Backend eine Auswahl hätte welche Version man den updaten möchte!

1 Like

@dakl schrieb:

Nun, als Shopbetreiber ist der “Update-Button” aber auch echt verführerisch. Und man kann ja nur die aktuellste Version updaten. Problem ist ja nur, das seitens Shopware hier ich muß es so sagen: NICHTS PASSIERT IST und selbst Supporttickets waren nur Arbeit für mich und keine Lösung.

Updategeil wären wir nicht, wenn man im Backend eine Auswahl hätte welche Version man den updaten möchte!

Hallo,

naja du kannst ja jederzeit das Update auf deine gewünschte Shopware Version ja auch manuell einspielen - siehe: http://community.shopware.com/Downloads_cat_448.html . Somit hast du ja jederzeit die Auswahl, welche Shopware Version du einspielen möchtest. Nur automatisch wird dir eben auch nur die aktuellste Shopware Version angeboten, was auch nachvollziehbar ist.

Und so und so sollte man vor jedem Update im Livesystem das Update erst einmal vorab in einer Testumgebung durchführen.

Beste Grüße

Sebastian

Ja klar kann man das auch „altmodisch“ machen wie mit anderen altmodischen Shopsystemen auch und natürlich prüfen wir alles erst im Testsystem. In diesem Fall ging nunmal alles drunter und drüber und da braucht man auch keine „Schlaumeier“, sondern eine korrekte Lösung wenn man für Support zahlt! Ist mir jetzt aber auch egal das Thema CSRF.

@dakl schrieb:

Ja klar kann man das auch „altmodisch“ machen wie mit anderen altmodischen Shopsystemen auch und natürlich prüfen wir alles erst im Testsystem. In diesem Fall ging nunmal alles drunter und drüber und da braucht man auch keine „Schlaumeier“, sondern eine korrekte Lösung wenn man für Support zahlt! Ist mir jetzt aber auch egal das Thema CSRF.

Heute ist es CSRF morgen was anderes. Nimm das Thema Testing ernst, dann wirst Du besser schlaffen können.  Vorläufige Lösung: schalte den CSRF Schutz ab. 

Ja NextMike, wir setzen von Beginn an Testsysteme ein und nehmen das Thema bereits seit 2003 ernst. Nach dem ersten Update funzte sowohl alles im Testsystem, wie auch danach im Livesystem!!! Mit dem Token Gedöns hatten wir erst Tage nach den Updates Probleme. Und klar bleibt nur die eine Lösung, die wir ja schon lange nutzen.

@dakl schrieb:

Ja NextMike, wir setzen von Beginn an Testsysteme ein und nehmen das Thema bereits seit 2003 ernst. Nach dem ersten Update funzte sowohl alles im Testsystem, wie auch danach im Livesystem!!! Mit dem Token Gedöns hatten wir erst Tage nach den Updates Probleme. Und klar bleibt nur die eine Lösung, die wir ja schon lange nutzen.

ja, das stimmt das CSRF Problem beim Testing zu finden ist nicht ohne. Aber wie gesagt den Schutz abschalten und gut ist. Lief bis 5.2 auch ohne. 

Verstehe die Aufregung auch nicht ganz, abschalten und gut ist.

Was ich auch nicht ganz verstehe, warum immer gleich alle Updaten müssen, wir verwenden immer noch die 5.1.6 und haben keine Probleme. Smile Ein Update kommt für uns wenn überhaupt erst nächstes Jahr in Frage, bzw. wenn wir uns sicher sein können dass alle Kinderkrankheiten beseitigt wurden. 

Bei der 5.2 wurde sehr viel geändert, da hätte eigentlich jedem klar sein müssen das die nicht gleich fehlerfrei laufen wird, ist bei fast jeder Software so. Und das manche Fehler erst im laufenden Betrieb endeckt werden, ist auch nix neues. :wink:

@NextMike schrieb:

@dakl schrieb:

Ja NextMike, wir setzen von Beginn an Testsysteme ein und nehmen das Thema bereits seit 2003 ernst. Nach dem ersten Update funzte sowohl alles im Testsystem, wie auch danach im Livesystem!!! Mit dem Token Gedöns hatten wir erst Tage nach den Updates Probleme. Und klar bleibt nur die eine Lösung, die wir ja schon lange nutzen.

ja, das stimmt das CSRF Problem beim Testing zu finden ist nicht ohne. Aber wie gesagt den Schutz abschalten und gut ist. Lief bis 5.2 auch ohne. 

… jetzt mal ganz dumm gefragt (bin kein Programierer)

wie schlate ich dies CSRF ab ? - bei mir ist und war “Google Services” nie aktiviert.

Und wenn es aus ist, besteht dann kein Risiko, also ist dies CSRF eigentlich ohne Sinn

@VELNCS schrieb:

@NextMike schrieb:

@dakl schrieb:

Ja NextMike, wir setzen von Beginn an Testsysteme ein und nehmen das Thema bereits seit 2003 ernst. Nach dem ersten Update funzte sowohl alles im Testsystem, wie auch danach im Livesystem!!! Mit dem Token Gedöns hatten wir erst Tage nach den Updates Probleme. Und klar bleibt nur die eine Lösung, die wir ja schon lange nutzen.

ja, das stimmt das CSRF Problem beim Testing zu finden ist nicht ohne. Aber wie gesagt den Schutz abschalten und gut ist. Lief bis 5.2 auch ohne. 

… jetzt mal ganz dumm gefragt (bin kein Programierer)

wie schlate ich dies CSRF ab ? - bei mir ist und war “Google Services” nie aktiviert.

Und wenn es aus ist, besteht dann kein Risiko, also ist dies CSRF eigentlich ohne Sinn

Es verbessert schon die Sicherheit. Hier die Doku zur Abschaltung: CSRF Protection 

1 Like

Danke

also im der Datei frontend false eingeben (bei mir tritt der Fehler nur im Frontend auf - richtig ?

Wo liegt die Datei genau ?

...
'csrfProtection' => [
    'frontend' => false,

@VELNCS schrieb:

Danke

also im der Datei frontend false eingeben (bei mir tritt der Fehler nur im Frontend auf - richtig ?

Wo liegt die Datei genau ?


‘csrfProtection’ => [
‘frontend’ => false,

kein Ahnung welchen Sinn es im Backend macht, wahrscheinlich reicht es im Frontend abzuschalten, ansonsten beides. Die Datei ist auf der obresten Ebene der Shopwareinstallation. 

die config.php liegt im root…

hab die "config.php via FTP mit File Zilla gefunden,

aber wenn ich sie öffne steht im Dreamweaver oben  Dynamically-related files cannot not be discovered …

in der Datei selbst nur :

<?php return array (
  'db' =\>   array (     'host' =\> 'localhost',     'port' =\> '3307',     'username' =\> '.........',     'password' =\> '.......',     'dbname' =\> 'u....... ',   ), );

@VELNCS schrieb:

hab die "config.php via FTP mit File Zilla gefunden,

aber wenn ich sie öffne steht im Dreamweaver oben  Dynamically-related files cannot not be discovered …

in der Datei selbst nur :

<?php return array (
  'db' =\>   array (     'host' =\> 'localhost',     'port' =\> '3307',     'username' =\> '.........',     'password' =\> '.......',     'dbname' =\> 'u....... ',   ), );

ich wäre vorsichtig an dieser Stelle, lass da jemanden dran der versteht was er tut. Nicht, dass Dein Shop gleich offline geht. 

1 Like

nimm einen einfachen Texteditor, nicht Word oder so was…

@Gesundwürzen schrieb:

nimm einen einfachen Texteditor, nicht Word oder so was…

Wenn ich die Datei öffne geht dies automatisch mit Dreamweaver.

Ich arbeite mit MAC

Habe die config.php runtergeladen und sie mit einem Texteditor geöffnet … steht aber trotzdem nicht mehr drin.

Ich lass die Finger davon, bevor ich was “zerschieße”

Danke an Euch für die Tips.

@Vitago GmbH schrieb:

Verstehe die Aufregung auch nicht ganz, abschalten und gut ist.

Was ich auch nicht ganz verstehe, warum immer gleich alle Updaten müssen, wir verwenden immer noch die 5.1.6 und haben keine Probleme. Smile Ein Update kommt für uns wenn überhaupt erst nächstes Jahr in Frage, bzw. wenn wir uns sicher sein können dass alle Kinderkrankheiten beseitigt wurden. 

Bei der 5.2 wurde sehr viel geändert, da hätte eigentlich jedem klar sein müssen das die nicht gleich fehlerfrei laufen wird, ist bei fast jeder Software so. Und das manche Fehler erst im laufenden Betrieb endeckt werden, ist auch nix neues. ;)

abschalten ist nicht gut, warum kann man hier im Forum nachlesen.

Und die Einstellung, dass wenn etwas neu ist auch fehlerhaft ist, ist traurig aber wohl wahr. Wenn man für etwas bezahlt erwartet man auch eine entsprechende Gegenleistung.

Wenn ein neues Auto auf den Markt kommt, geht man ja auch davon aus, dass wenn man nach links lenkt, das Auto dann auch nach links fährt, oder akzepiert man das dann weil es ein neues Modell ist und dann halt nur noch rechts herum im Kreis fährt?

Die Version 5.2.xx ist ja schließlich keine Betaversion, entsprechend sind dann auch die Erwartungen.