CSRF-Fehler

[photojo]

Hallo,

woran kann es liegen, dass ich ständig aus dem BE fliege mit

Die GET CSRF-Prüfung ist fehlgeschlagen. Aus Sicherheitsgründen wurde die Session beendet.

?

Danke!

Gruß Jo

[nameless1]

Kannst Du es eingrenzen. Ggf. immer nach Aufruf der Dateizentrale?

[photojo]

Ja, stimmt, damit hantiere ich im Moment sehr viel. Kann es daran liegen? Und wenn ja, wie kann man das handeln?

Danke dir schon mal!

[Oliver Georgi]

Hart codierte Domain mit http in der Config aber die Seite selbst zwingt Dich z.B. auf https.

[photojo]

Die Seite läuft auf SSL.
In der config habe ich das. Wie auch bei allen anderen SSL-Sites. Nur eben bei dieser einen fliege ich immer raus.

Code: Select all

$phpwcms['site'] = ''; // leave empty to auto configure or try 'http://'.$_SERVER['SERVER_NAME'].'/'
$phpwcms['site_ssl_mode'] = 1; // turns the SSL Support of WCMS on (1) or off (0), default value 0
$phpwcms['site_ssl_url'] = ''; // URL assigned to the SSL Certificate. Recommend 'https://'.$_SERVER['SERVER_NAME'].'/'
$phpwcms['site_ssl_port'] = 443; // The Port on which you SSL Service serve the secure Sites, default SSL port is 443

[Oliver Georgi]

Dann ist dort ein Problem mit Cookies auf der Seite.
Stelle sicher, dass Du in jedem Fall über https auf Login zugreifst.

[nameless1]

Ja, stimmt, damit hantiere ich im Moment sehr viel. Kann es daran liegen? Und wenn ja, wie kann man das handeln?

Danke dir schon mal!

Wenn es beim rendern der Bilddateien zu einem Abbruch kommt wird kein CSRF an die Links gehangen und nach dem nächsten klick bist du raus.
Das erkennst Du daran das oben unterhalb der Navi auch diese zwei Id/ Codes stehen. Komme gerade nicht drauf welche das waren

[photojo]

Danke dir erstmal. Ich jongliere im Moment tatsächlich extrem viel mit Dateien, insbesondere Videos, als Podcasts für das Homeschooling der Schüler.
Ich achte nochmals gezielt darauf, wann ich genau rausfliege.

Grüße
Jo

[hekla]

Gibt es es abschliessende Erkenntnisse?
Nach einem Update auf v1.10.2 fliege ich beim Speichern von egal was raus mit dem Hinweis "Die POST CSRF-Prüfung ist fehlgeschlagen. Aus Sicherheitsgründen wurde die Session beendet. "
Cookies sind erlaubt, habe es auf verschiedenen Browsern versucht …

Ich habe

Code: Select all

$phpwcms['db_errorlog'] = true;

aber es wird kein Logfile geschrieben …

Was kann ich tun?

[Oliver Georgi]

Lösche mal alle Cookies und Websitedaten, die dazu gehören. Und solange keine DB Fehler auftreten, wird auch nichts in db errorlog geschrieben.

[hekla]

Danke für die promte Antwort.
Habe alles gelöscht – hat leider keine Änderung gebracht.

[Oliver Georgi]

PHP Version, Browser usw.

Dann hast Du vermutlich PHP Fehler und das führt dazu, dass die Verarbeitung der CSRF Parameter nicht erfolgreich abgeschlossen wird und diese dann fehlen.

Prüfe mal das PHP Error Log. Falls Du nicht weißt, wie das zu aktivieren ist oder unsicher, ob es überhaupt aktiv ist – in der conf.inc.php testweise folgendes einfügen:

Code: Select all

ini_set('display_errors', 1);
error_reporting(E_ALL);

[nameless1]

oder uns oder Oliver hier PM inkl. Zugangsdaten FTP und phpwcms, dann prüfen wir das