CSRFToken

[bautti]

Hallo,
vor kurzem haben wir von einem alten 1.05 auf einen 2.0.5.1 Shop gewechselt. Im Neuen Shop poppt immer wieder mal folgende Fehlermeldung auf:

CSRFToken nicht definiert (Aus Sicherheits-Aspekten ist es nicht mehr erlaubt im Adminbereich in verschiedenen Tabs zu arbeiten.)

Das bremst uns beim Anlegen von Artikeln schon öfters aus. Ich hab bei Wikipedia etwas gelesen und soweit ich es verstanden habe ist das nur bei http nötig. Kann man dass wenn auch der Adminbereich unter https läuft deaktivieren?

[EDIT Tomcraft 21.10.2020: Shopversion korrigiert, siehe: FAQ: Wichtiger Hinweis bzgl. Angabe der Shopversion!]

Linkback: https://www.modified-shop.org/forum/index.php?topic=41411.0

[hpzeller]

Im Admin unter Konfiguration -> Adminbereich Optionen kann man das Admin Token System deaktivieren.

Ich rate dir aber das Token System aus Sicherheitsgründen nicht zu deaktivieren.

Gruss
Hanspeter

[bautti]

Also stimmt es nicht dass diese Sicherheitsmaßnahmen bei https nicht nötig ist?

[hpzeller]

Also im Beispiel das hier -> https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery gezeigt wird,

Code: XML  [Auswählen]

http://de.wikipedia.org/w/index.php?title=Spezial:Userlogout

ist zu erkennen, dass es unerheblich ist ob die URL mit http oder https beginnt, wichtig ist nur dass der Nutzer der Website bei der verlinkten Website (wikipedia.org) angemeldet ist. Im Übrigen weiss ich auch nicht wo du das gelesen haben willst, dass das Token nur bei http nötig bzw. von Nutzen sei.

PS:
Verschlüsselung z.B. durch https wirkt bei solchen Angriffen -> https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

Gruss
Hanspeter

[noRiddle (revilonetz)]

Man kann das Token-System bedenkenlos ausschalten wenn man in dem Browser in welchem man im Shop arbeitet nichts anderes macht, also nicht auf anderen Seiten herumsurft, insbesondere nicht auf Seiten denen man nicht per se vetrauen kann, und welchen kann man das schon.

Gruß,
noRiddle

[bautti]

Danke für die Klarstellung bezüglich https. Ich weiß nicht wo ich das her hatte dass es mit https kein Problem ist, wahrscheinlich weil immer nur von http die Rede war....

@noRiddle:
Im Büro werden nur Seiten aufgerufen welche für´s Business benötigt werden, da ist nichts dubioses dabei. Die Mitarbeiter weise ich auch immer wieder darauf hin, und auch darauf dass keinerlei Links in Mails angeklickt werden dürfen oder andere Inhalte als .jgg geöffnet werden dürfen. Sicher kann man natürlich nie sein dass ein Mitarbeiter mal doch Blödsinn macht.

Ich werde mir dass noch überlegen ob wir das Risiko eingehen oder nicht.