CSRF protection - Warum ??

CMSimple 4.0 und höher
Luenissla
Posts: 35
Joined: Fri 25. Jan 2013, 17:43

CSRF protection - Warum ??

Post by Luenissla »

Moin Gert und alle miteinander,
im Urlaub und dann auch noch am Wochenende erhielt ich die Mitteilung, dass auf unserer Seite eine Seite nicht funktioniert, die über den Mitgliederbereich gesteuert wird: www.bvff.de --> Veröffentlichungen --> Register Ronsdorf --> Login im Mitgliederbereich mit bvff und gast --> ergibt eine leere Seite.

Ich nutze aktuell: CMSimple 4.7.3 Released: 2017-12-15 mit PHP Version 7.3.28-nmm1.

Meine Versuche an den Mitgliederdaten etwas zu ändern oder gar einen Hinweis auf die Seite zu bringen, brachte mir den Fehler "CSRF protection" mit anschließendem automatischen Logoff.

Weil ich in dem Forum gelesen habe, dass das ein Fehler ist, der nach längeren Offensein einer Seite auftreten kann, habe ich den Browserverlauf und die Cookies gelöscht. Aber ohne Erfolg. Es sind sehr kurze Sessions; also kein Grund für einen solchen Fehler.
Ich kann auch nicht diese Csrf_protection ausschalten.

Wo kann der Haken liegen??
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: CSRF protection - Warum ??

Post by Gert »

Luenissla wrote: Fri 16. Jul 2021, 20:07 Ich kann auch nicht diese Csrf_protection ausschalten.
Doch, kannst du:

Einstellungen => CMS => Use => Csrf_protection:

Alles ausser "true" schaltet die CSRF Protection aus,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Luenissla
Posts: 35
Joined: Fri 25. Jan 2013, 17:43

Re: CSRF protection - Warum ??

Post by Luenissla »

Das hatte ich schon probiert, aber beim Sichern der Daten kam der gleiche Fehler.
Alles was ich mache und zu einer Änderung führt, die gespeichert werden muss, führt zu dem Fehler. :?:
Luenissla
Posts: 35
Joined: Fri 25. Jan 2013, 17:43

Re: CSRF protection - Warum ??

Post by Luenissla »

Ich habe den Wert nun "zu Fuß" geändert.
Der Erfolg ist, dass ich an einer Seite wieder Änderungen speichern kann.
Der jeweilige Downloadbereich bleibt leider leer.
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: CSRF protection - Warum ??

Post by Gert »

Luenissla wrote: Sat 17. Jul 2021, 20:15 Der jeweilige Downloadbereich bleibt leider leer.
Das muss dann wohl am Inhalt des jeweiligen Downloadbereiches liegen,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: CSRF protection - Warum ??

Post by Gert »

Luenissla wrote: Sat 17. Jul 2021, 20:15 Der jeweilige Downloadbereich bleibt leider leer.
Normalerweise sollte die Seite "Downloads" nach dem MembersArea Login im Menü erscheinen, ausserdem sollte das Submenü auf der Login-Seite erscheinen.

Du solltest also mal den MembersArea Pluginaufruf und die MembersArea Daten überpüfen,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Luenissla
Posts: 35
Joined: Fri 25. Jan 2013, 17:43

Re: CSRF protection - Warum ??

Post by Luenissla »

Moin Gert,
nun aus dem Urlaub zurück muss ich mich noch einmal näher mit dem Mitgliederbereich befassen.

Das Login wird ganz normal aufgerufen:
{{{PLUGIN:membersarea_login();}}}
.
Es wird richtg angezeit: "Hallo xy, Sie sind angemeldet. usw."
Danach ist auch eine Downloadseite im Menü zu sehen.
Wechsel ich dorthin, dann ist die Seite leer.
Die Aufrufe auf der Seite sind auch normal:
{{{PLUGIN:membersarea_protect('!guest!');}}}
{{{PLUGIN:membersarea_loggedin_hint();}}}
Es fehlen aber auch die Informationen aus dem Login; so als ob man sich noch nicht angemeldet hat.

Auf https://www.bvff.de kann man sich für die einfachen Dateien mit bvff und gast anmelden.

Hast Du eine Idee, weshalb das System die Informationen des getätigten Login verlieren kann?

Die Verzeichnis- und Dateiattribute habe ich kontrolliert und entsprechend der Hilfe gesetzt, wenngleich ein 777 nicht erforderlich ist, bislang tat es auch ein 755, ebenso bei den Dateien 666 und 644. Da bislang alles funktioniert hatte, bis diese CSRF-Protection kam, bin ich etwas ratlos.
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: CSRF protection - Warum ??

Post by Gert »

Hallo,

lass mal den Aufruf membersarea_loggedin_hint() weg und teste mal den einfachen Pluginaufruf (für alle Gruppen):

Code: Select all

{{{PLUGIN:membersarea_protect();}}}
Gert

==============================

PS: Und deaktiviere mal die fremden Scripts (Counter, Tracking)
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Luenissla
Posts: 35
Joined: Fri 25. Jan 2013, 17:43

Re: CSRF protection - Warum ??

Post by Luenissla »

Moin Gert,

es ergibt sich leider keine Änderung.

Anmeldung geht.
Downloadbereich wird im Menü angezeigt, ist aber leer.
Nach Rückkehr zu der Seite mit der Anmeldung sind die Angeben von der Anmeldung weg.

Hans-Joachim

PS: Den Counter habe ich deaktiviert, Tracker nutze ich nicht.
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: CSRF protection - Warum ??

Post by Gert »

Luenissla wrote: Mon 9. Aug 2021, 09:27 Anmeldung geht.
Downloadbereich wird im Menü angezeigt, ist aber leer.
Nach Rückkehr zu der Seite mit der Anmeldung sind die Angeben von der Anmeldung weg.
Dann stimmt wohl was mit den Session-Einstellungen bei Deinem Provider nicht. Das würde auch Deine Probleme mit der CSRF-Protection erklären,

Gert

============================

PS: Du hast ja einiges an der template.htm gemacht. Aktiviere doch mal das CMSimple Standard Template, damit wir das ausschliessen können.
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Post Reply