Es hat was mit den Eingabe-Feldern (POST-Formularen) zu tun. Auch das Newsletter-Feld auf der Startseite ist ein POST-Formular, das mit Token-Validierung abgesichert ist, ja.
Und auf der Startseite ist das Formular natürlich für Bots auch entsprechend leicht zu finden, da wird es also häufiger Log-Einträge geben. Aber die von Bots ausgelösten Log-Einträge sind kein Hinweis auf das bestehende CSRF-Problem, sondern ein Beleg dafür, dass die CSRF-Absicherung funktioniert.
Log-Einträge zum CSRF-Token kommen auch dann zustande, wenn die CSRF-Absicherung korrekt funktioniert und sind somit kein allgemeiner Hinweis auf das Problem.
edit: Wenn bei sschreier derartige Log-Einträge also gar nicht vorkommen, heisst das entweder, dass die CSRF-Validierung gar nicht läuft, oder noch kein unregelmässiger Zugriff stattgefunden hat. Denn sonst gäbe es derartige Einträge.
aha, interessant, es wird bereits vermutet es könnte was mit newsletter sein… 80% haben das Problem.
erklärt auch warum Sonic da keine Probleme sieht, denn wenn ich mir seinen Shop ansehe, fehlt dort der Block im Footer.
Könnte da was dran sein?
Nein, der „Shop“ ohne Newsletter hat auch keinen Login und Checkout, von daher trifft es den nicht - und ist nebenbei auch noch auf 5.2.9
Wir haben in einem anderen Thread (uBlock) versucht, eine Gemeinsamtkeit zu finden. Ein Fehler, der im demoshop von Shopware fast 100% reproduzierbar war, konnte der andere Teilnehmer bei mir nicht reproduzieren. Dabei handelt es sich um eine andere Shopware-Instalation mit Subshop. Weder im Haupt- noch im Subshop konnte ein CSFR provoziert werden (ausser natürlich, wenn man unmittelbar vor einem „POST“ alle Cookies löscht). Und im Haupt- und im Subshop ist die Newsletterbox vorhanden.
Ich kann nur sagen - weil oben ja was anderes angedeutet wird: Besagter Shop läuft auf 5.2.20 und hat CSFR NICHT deaktiviert.
Da ich aber keine Lust habe, dass sich nun alle bei mir austoben, habe ich erstmal alle Informationen zu mir und meinem Shop aus meinem Profil hier entfernt.
Das ist es ja, was die Sache so schwierig macht: Es gibt Systeme, da knallt es, und welche, da gibt es keine Probleme. kkr8 hat einen wahrscheinlich wichtigen Punkt aufgezeigt, dass kann aber alleine nicht die Ursache aller Probleme sein, somal ja auch viele hier schon vor 5.2.17 um Hilfe gebeten haben.
CSRF-Validierung ist ein weitläufiges und komplexes Feld und die entsprechenden Fehlermeldungen bieten meist lediglich einen wagen Hinweis auf die tatsächlich zugrunde liegende Ursache.
In der Regel werden diese Probleme verursacht durch individuelle Fehlkonfigurationen, Inkompatibilitäten mit Plugins, iFrames, usw. Die denkbaren Gründe hierfür sind vielfältig und weit gestreut.
Umso wichtiger fand ich es, eine Methode zu liefern, die es jedermann mit einfachen Mitteln ermöglicht zu unterscheiden, ob eine Installation grundsätzlich betroffen ist oder nicht. Leider hat sich dabei herausgestellt, dass dies die Versionen ab 5.2.17 generell betrifft.
Der Test behandelt exemplarisch natürlich nur auf EINES vieler Symptome, die durch den Fehler ausgelöst werden können, ermöglicht aber dennoch einen eindeutigen Rückschluss.
Gerade bei Newsletter und Login müsst Ihr aber auch mal die Shopware-Logs mit den Server-Logs abgleichen!!!
Wie schon mehrfach geschrieben, können das durchaus Crawler und vor allem Spambots sein - da wäre der Fehler dann ja kein Fehler sondern das richtige Verhalten
Bei mir war es EIN Bot, der Wordpress- und Shopware Controller abgeklappert hat, und damit natürlich korrekt für Fehler gesorgt hat. DIESER Bot scheitert nun schlicht an meiner .htaccess und ich habe Ruhe.
da ich die CSRF Token Fehlermeldungen grundsätzlich für sinnvoll halte, hätte ich mal eine Frage zur Standard-Fehlermeldung “Upps, …”:
kann ich eine spezielle Fehlerseite für die CSRF Token Fehlermeldung anzeigen lassen? Bei uns tritt der Fehler auf, wenn längere Zeit Inaktivität herrschte und dann der Kunde “weiter machen” will (wurde in diesem Thread schon beschrieben). Deshalb hätte ich gerne eine spezielle Fehlerseite z.B. “Session abgelaufen - bitte Seite neu laden” oder so ähnlich. Dann weiß der Nutzer worum es geht und wird nicht durch eine allgemeine Fehlermeldung verschreckt. Andere Websites machen das auch so, wenn man längere Zeit inaktiv ist.
@raschu: Ob dieses individualisiert nur auf den Fehler funktioniert bezweifel ich. Da verlangst Du der Maschine wahrscheinlich zuviel ab. Wir haben die Fehlermeldung generell angepasst. Findest Du in den Textbausteinen unter frontend/error/exception. Oder gib in der Suche bei den Textbausteinen einfach "Wir wurden bereits über das Problem informiert ", dann kommst Du auch zum Ziel. Bitte daran denken mit html- Befehlen zu arbeiten wie z.B. br . sonst sieht es nicht schön aus.
Ergänzend, so haben wir es gemacht:
Wir wurden bereits über das Problem informiert und arbeiten an einer Lösung, bitte versuchen Sie es in Kürze erneut.
Falls dieser Fehler im Zusammenhang mit der Anmeldung oder Wechsel der Zahlungsmethode entstanden ist, bitten wir über “Home” sich erneut anzumelden.
Es handelt sich dann wahrscheinlich um einen Bug in der aktuellen Shopversion an dessen Beseitigung gearbeitet wird.
Ich muss hier Shopware aber auch entschieden wiedersprechen das denen nichts bekannt sei, dass jemand aktiv den fehlenden CSRF-Schutz von Shopware ausnutzt. Sofern ich das korrekt nachvollzeiehen kann, wurde bereits hier im Forum gemeldet dass automatisierte Spambots shopware heimsuchen. Mit deaktivierten CSRF Schutz, haben die natürlich leichtes Spiel:
Du hast dann Spam-Anmeldungen, ja. Aber die machen nichts kaputt. Das ist 1:1 das Verhalten wie unter Shopware 5.1, die werden angelegt, können aber nichts machen. Danach kannst du die über das Backend löschen. Da wird kein Schadcode in dein System eingeschleust, davor schützen weitere Sicherheitsmechanismen. Die Spam-Anmeldungen gibt es schon immer/überall. Natürlich ist das ein positiver Effekt, wenn diese unterbunden werden.
Kritik ist ja angekommen, das Ticket ist ja schon in Bearbeitung
Unglaublich wie viele hier rumheulen…da kommt einem das K… Genau solche Kunden sind bei uns nicht erwünscht und fliegen hochkant raus! Zum Glück sind wir in der Lage uns unsere Kunden aussuchen zu können.
Wo ist das Problem diese Funktion abzuschalten, bis ein Update rauskommt das diesen Fehler hebebt? Ach ja, ihr seid ja alle so super schlau und euch unterlaufen nie Fehler…ich wünsche euch mal so Kunden wie ihr es seid.
Unglaublich wie viele hier rumheulen…da kommt einem das K… Genau solche Kunden sind bei uns nicht erwünscht und fliegen hochkant raus! Zum Glück sind wir in der Lage uns unsere Kunden aussuchen zu können.
cool, in welcher Branche seid ihr tätig?
Kurzum, solange wir nun wissen wie man sich vorübergehend behelfen kann und das Shopware-Team wohl intensiv nach dem Fehler sucht, ist erst mal alles gut. Aber die Kommunikation zw. Shopware und seinen Kunden lässt schon sehr zu wünschen übrig. Man muss auch Verständnis haben gegenüber denjenigen, die jetzt erst den Fehler bemerkt haben und hier im Forum gelandet sind und das nur deswegen weil vielleicht schon seit Tagen bei denen Kunden anrufen und sich beschweren dass man nicht bestellen kann. Dem hätte man vorbeugen können, Shopware hat ja alle Adressen der Shopwarenutzer. Dann wäre hier auch nicht so eine mieße Stimmung. Und wenn dann aber wieder welche den Fehler abstreiten hier im Forum, dann trägt das nicht zur Harmonie bei. Wir alle betreiben den Shop ja nicht weil es unser Hobby ist, sondern weil die meisten damit Ihren Lebensunterhalt betreiten wollen/müssen.
Dem hätte man vorbeugen können, Shopware hat ja alle Adressen der Shopwarenutzer.
Die meisten, die im Forum unterwegs sind, haben eh die CE im Einsatz. Und wer die Pro oder höher hat, wird wohl eher den Support kontaktieren, und nicht im Forum suchen. Also, woher sollte SW meine Adresse haben???
Und wer die Pro oder höher hat, wird wohl eher den Support kontaktieren, und nicht im Forum suchen. Also, woher sollte SW meine Adresse haben???
ich habe die Pro und gehe davon aus hier Lösungen zu finden, die Admins und Moderatoren sind ja vom Shopware Team. Und da ich eh nicht der Erste bin, zumindest ging ich davon aus, erst mal im Forum nachsehen, dann kann man immer noch eine mail schreiben.
Als CE User würde ich auch mal eher sagen das Ansprüche zu stellen hier ganz falsch am Platz sind. You get what you paid for!
Genau solche Kunden sind bei uns nicht erwünscht und fliegen hochkant raus! Zum Glück sind wir in der Lage uns unsere Kunden aussuchen zu können. 
Genau solche Kunden sind bei uns nicht erwünscht und fliegen hochkant raus! Zum Glück sind wir in der Lage uns unsere Kunden aussuchen zu können.