Wie klappts mit 5.2.20 - Erfahrungen

@senor_dingdong schrieb:

lässt sich auch auf shopwaredemo.com nachstellen

 

… soll heißen, da tritt der Fehler auch auf ???

Also, wenn ich auf die Login-Seite gehe, dann den Keks lösche, und danach auf Login klicke, ist ja klar, dass der Fehler kommt. Wo soll der gültige Token dann auch herkommen, wenn man ihn gerade gelöscht hat?

@sonic schrieb:

Also, wenn ich auf die Login-Seite gehe, dann den Keks lösche, und danach auf Login klicke, ist ja klar, dass der Fehler kommt. Wo soll der gültige Token dann auch herkommen, wenn man ihn gerade gelöscht hat?

ja, die Frage ist ob man das „Logout“ schöner gestalten kann. 

Ich lösche natürlich nicht die Cookies vor dem Absenden des Formulars. Weiter hier: https://forum.shopware.com/discussion/44822/csrf-token-problem-mit-adblocker

@senor_dingdong schrieb:

ich betreue momentan 2 shops, bei beiden tritt reproduzierbar (cookies löschen, neu laden) das csrf problem auf, zum beispiel bei der anmeldung. mir ist irgendwann aufgefallen, dass das ausschließlich im firefox passiert bei aktiviertem ublock origin. bin noch nicht dazu gekommen, das näher zu untersuchen…

Wenn du das nur mit irgendeinem Add-On was irgendwelche Requests blockiert, machen kannst, dann ist das auch kein allgemeiner Fehler.
Der Token wird per Ajax-Request gesetzt und ist ein Cookie. Wenn also Cookies oder Requests blockiert werden vom Browser, ist es ja völlig korrekt, dass die Meldung dann kommt. 

1 „Gefällt mir“

Aber es funktioniert eben bei nochmaligem Neuladen der Seite. ublock mag ja Schuld daran sein, aber ich finde es wichtig, das Problem zu untersuchen.

Ich haben einen 5.2.20 zum Testen für eigene Plugins. Bezüglich Token-Validierung kann ich hier keine Fehler feststellen.

Ich habe 5.2.20 in 4 Shops eingespielt, bisher keine Probleme. Das mit dem Token/Adblock habe ich jedoch noch nicht untersucht.

Wir betreuen 4 Shops bei 2 Hostern. Überall CSRF Probleme. Mal ja, mal nein. Ist dauerhaft überall deaktiviert, seitdem keine (Kunden)Probleme mehr.

Ist keine generelle Hilfe für die Problemlösung, ich weiß. Wollte nur meinen Senf dazugeben, dass ich die CSRF Funktion als großen Bug  / Fail ansehe. (IMHO)

Wenn jetzt jeder Admin welcher Shopware einsetzt seine Shopsicherheit auf Kosten der Kundenregistrierung deaktiviert, könnte ich mir vorstellen das es nicht lange dauert bis der erste Zwischenfall kommt. Leider habe ich absolute nulle Ahnung von der Materie daher bleibt das bei mir on. Bei mir kommen aktuell laufend diese Meldungen rein und es springen auch Kunden deshalb ab. Crying

Muss jetzt wirklich jeder Thread mit CSRF zugelabert werden? Nutzt doch einfach mal die vorhandenen Themen, und tragt mal was zur Lösung bei - also mal z.B. Shopware-Logs mit Server-Logs abgleichen, ob die vielen Fehler nicht sogar richtig sind, weil sie von Bots verursacht werden? Exakte Angaben zur Umgebung: Browser, PHP-Version, Modus (CGI / Mod), Adblocker, Scriptblocker, Browsereinstellung, Cookiepermission, etc etc.
Es hilft hier wirklich Keinen, immer nur zu schreiben „bei mir gehts nicht“. Meine Glaskugel ist jedenfalls gerade zur Reparatur.
Auch durch permanentes Wiederholen wird etwas unwahres nicht wahr: Es ist kein generelles Coreproblem, sonst könnte es nämlich Hinz und Kunz überall nachstellen (siehe z.B. Thread zu CSRF vs. uBlock)

Zur Shopsicherheit: das Feature gibt es erst seit 5.2 

Also ran an die Arbeit: Füttert das Forum mit relevanten Daten und arbeitet mal die Logs ab.
 

2 „Gefällt mir“

Habe das Update 5.2.20 in 3 Shops eingespielt. Hat insgesamt nur 15 min gedauert. :slight_smile:

Keinerlei Probleme aufgetreten.

Einmal von 5.2.10 auf 5.2.20

Zweimal von 5.2.12 auf 5.2.20

 

Bin begeistert.  Grin

Alle über das Backend durch den Updateassistenten. Der läuft wie geschmiert. Vermutlich wurden auch meine Servereinstellungen optimiert, da ich bei 2 Shops die Rechtevergabe nicht mehr anpassen musste. Dann gehts nämlich noch schneller.

Da sieht man, dass viele Updateprobleme auch von den Servereinstellungen abhängig sind.

Gruss

Matthias

 

Lag bei uns auch am Security Update von 2017 - ärgerlich das es dabei zu solchen Effekten kommt …