Neu Shop4 Login Adminbereich wegen CSRF (Cross site request forgery) fehlgeschlagen

[css-umsetzung]

JTL ist nicht für angelegte Dateien vom 1und1 Server verantwortlich.
JTL hat das PHP auf dem 1und1 Server nicht eingerichtet.

Sessiondateien werden von php angelegt und wenn sie abgelaufen sind auch von php über den garbage collector automatisch gelöscht, das ist nicht die Aufgabe des php Scriptes.
1und1 hat das Problem, dass wenn es in einem Ordner zu viele Dateien gibt, Ihre eigenen Beschränkungen dafür sorgen das diese nicht mehr gelöscht werden können.

1und1 hat das Problem nun temporär verschoben weil Sie dir ein extra Verzeichnis eingerichtet haben das nun zugemüllt werden kann, es ist nicht sicher gestellt, dass dieses Verzeichnis nun automatisch bereinigt wird, das musst du also nun im Auge behalten und falls nötig eine eigene Löschfunktion bauen..

Ja der Shop schreibt extrem viele Sessions, dies lässt sich über defines in der JTL config ändern. hier ein teil eines Zitates

Die Anzahl und Größe lässt sich übrigens deutlich minimieren, wenn man die Zeilen

define('TEMPLATE_COMPATIBILITY', false);
define('SAVE_BOT_SESSION', 3);

in der config.JTL-Shop.ini.php einträgt.
Sollte allerdings nur gemacht werden, wenn man ein auf dem EVO-basierendes Template und den Objektcache nutzt.
Das sorgt dann dafür, dass weniger Daten wie noch zu Shop3-Zeiten in der Session gecacht werden und das nicht jeder Aufruf durch eine Suchmaschine eine neue Session erstellt.

 

[delaware]

Ich habe jetzt wieder genau das selbe Problem. Und 1&1 meinte nun das liegt defentiv an den JTL Shop

1&1 sagte mir soeben, der Fehler läge nicht bei ihnen sondern Skripte die von dem JTL Shop extern benötigt werden können nicht geladen werden oder ausgeführt werden

Ich habe wieder ein neues Ticket geschrieben seit 24 Stunden kommen keine Bestellungen mehr rein und ein Shop abgleich ist mir nicht möglich, ich muss wieder an idealo und an andere Portale Geld bezahlen dafür dass die Leute auf meine Seite kommen, sie legen etwas in den Warenkorb und es kann nicht bestellt werden.

Das muss doch endlich mal seitens JTL gefixt werden und ich jedes Mal die Schuld auf andere schieben bitte

 

[css-umsetzung]

Hast du denn mal in den Session Ordner geschaut was da los ist?

 

[mastertango]

Ich habe jetzt wieder genau das selbe Problem. Und 1&1 meinte nun das liegt defentiv an den JTL Shop

1&1 sagte mir soeben,

Ich kann dir nicht sagen woran es liegt, aber bestimmt nicht am Shop. Vor allem wenn das Problem jetzt erst auftritt. Ich würde hier evtl. mal nachschauen was sich alles geändert hat.
Ganz sicher bin ich mir gerade nicht, aber ich glaube bei mir waren es PHP einstellungen die vom Hoster geändert wurden die das Problem verursacht haben

 

[delaware]

Das war ein total dummes Problem. Die Festplatte war zwar nicht voll, aber ich hatte das Limit erreicht der zu installierenden Dateien. Dieses war 1.008.098 Dateien begrenzt, und dieses Limit hatte ich irgendwie erreicht. Nachdem ich 70 % der Datei gelöscht haben die nur Müll gewesen sind, funktioniert alles wieder einwandfrei

 

[css-umsetzung]

Dennoch wirst du über kurz oder lang, bei 1und1 wieder in dieses Problem rein laufen.
Denn wenn du den einzigen bei 1und1 möglichen Cache aktiviert hast (erweiterte Dateien) wird je nach Menge der Artikel und Kategorien wieder das Datei Limit überschritten.

1und1 ist nicht wirklich dafür geeignet einen JTL Shop zu hosten.

 

[simplysmoke]

Dennoch wirst du über kurz oder lang, bei 1und1 wieder in dieses Problem rein laufen.
Denn wenn du den einzigen bei 1und1 möglichen Cache aktiviert hast (erweiterte Dateien) wird je nach Menge der Artikel und Kategorien wieder das Datei Limit überschritten.

1und1 ist nicht wirklich dafür geeignet einen JTL Shop zu hosten.

Hallo Zusammen, seit paar Tagen haben wir das selbe Problem und kommen nicht mehr in den Admin bereich. Auch der shop selbst funktioniert nicht für kunden zum einloggen oder das etwas im Warenkorb bleibt.
Auch bei uns:
Cross site request forgery

wo ist der ordner genau wo diese TMP files liegen sollen? ich hab alles durchsucht...

Bitte um schnelle hilfe vielen Dank

 

[css-umsetzung]

Das befindet sich in templates_c/filecache

 

[simplysmoke]

Das befindet sich in templates_c/filecache

Danke für die Schnelle Antwort. Ich hab da gerade reingeschaut das sieht leer aus. Das script was zuvor geschrieben wurde hab ich auch ausgeführt. Aber es funktioniert leider noch immer nicht Vor ein paar tagen ging es auf auf einmal nicht mehr. mein Hoster ist Alfahosting. Hatte damit noch nie Probleme. Was kann ich noch überprüfen ?

 

[css-umsetzung]

Alfahosting ist ja nicht 1und1, daher wird das dort nicht das gleiche Problem sein.

Wenn du eine gültige subscription hast dann solltest du bei JTL ein Ticket aufmachen.
Wenn nicht wird dir ein Servicepartner vermutlich kostenpflichtig) bestimmt helfen können.

So von außen wird dir keiner helfen können denke ich.

 

[simplysmoke]

Alfahosting ist ja nicht 1und1, daher wird das dort nicht das gleiche Problem sein.

Wenn du eine gültige subscription hast dann solltest du bei JTL ein Ticket aufmachen.
Wenn nicht wird dir ein Servicepartner vermutlich kostenpflichtig) bestimmt helfen können.

So von außen wird dir keiner helfen können denke ich.

Ein Ticket hab ich sicherheitshalber mal eröffnet. Es ist Plötzlich das einfach kein login mehr möglich...
Du wärst ein möglicher Servicepartner richtig?

 

[css-umsetzung]

Ich nehme derzeit einen Urlaubsaufschlag

Heute ist schlechtes Wetter, Ich kann also pauschal mal kurz drauf schauen.
Hierfür benötige ich dann aber per PN Daten für den Admin und ftp.

 

[css-umsetzung]

Da war dann wohl alles falsch was man falsch machen konnte

• in der config stand nur http und nicht https,
• als Domain stand da nur die Domain ohne www.
• in den globalen Einstellungen bei den Cookies stand dann die domain drin mit www,
• aber zusätzlich wurde bei der Frage auf was das SSL Zertifikat läuft (mit/ohne www) ausgewählt "ohne www"
• in der .htaccess gab es keine automatische weiterleitung auf "mit" www

Das war also ein hausgemachtes Problem mit vielen Fehlern.

 

[simplysmoke]

Da war dann wohl alles falsch was man falsch machen konnte

• in der config stand nur http und nicht https,
• als Domain stand da nur die Domain ohne www.
• in den globalen Einstellungen bei den Cookies stand dann die domain drin mit www,
• aber zusätzlich wurde bei der Frage auf was das SSL Zertifikat läuft (mit/ohne www) ausgewählt "ohne www"
• in der .htaccess gab es keine automatische weiterleitung auf "mit" www

Das war also ein hausgemachtes Problem mit vielen Fehlern.

Grausam wer macht den sowas

 

[delaware]

Bei mir war jedesmal der Speicher auf dem FTP voll.. prüfe mal ob dein FTP nicht bereits das Limit der GB erreicht hat oder der Datein die gespeichert werden dürfen ( Anzahl )

 

[Arndt]

Hallo liebe Leute,

bei mir ist auch seit kurzem dasselbe Problem aufgetreten, nämlich Cross site request forgery! beim Einlog-Versuch in unser Shop-Backend.
Die Shop-Seite lässt sich aufrufen, aber Login als Kunde geht nicht, Warenkorb-Inhalt verschwindet. Außerdem ist ein Shop-Abgleich aus der Wawi
nicht möglich. Es erscheint eine Fehlermeldung (siehe screenshot im Anhang).

(ich weiß nicht, ob hier noch jemand mitliest, ansonsten müsste ich wohl einen neuen Thread aufmachen?)

Mein Provider ist Greatnet.de. Dort sagt man mir, dass es an der Shop-Software liegen muss. Immerhin will man prüfen, ob das Problem dort gelöst werden kann. Bisher nichts mehr gehört.

Ich habe bisher folgendes versucht:
- alle möglichen verschiedenen Browser und mehrere Rechner versucht, überall dasselbe Cross site request forgery!
- TMP-Ordner-Inhalte löschen (template-c/filecache), der ist aber bereits leer
- htaccess-Datei ändern (Rewrite war nicht 'in Betrieb', da entsprechende Zeilen kommentiert, hat aber so alles einwandfrei funktioniert. Vielleicht liegt hier der Fehler?
Nach Änderung allerdings seltsames Verhalten beim Backend-Aufruf, man landet dann auf der Shop-Seite und nicht im Backend-Login)
- in der config-Datei ist die Domain mit https und ohne www eingetragen. Das habe ich vorrübergehend geändert, hat aber nichts gebracht
- unterschiedliche Domainname-Versionen (mit/ohne www, http oder https) werden sofort in https und ohne www geändert, Login dort nach wie vor nicht möglich
- in der Datenbank den Eintrag global_cookie_domain gecheckt, dort ist der cWert leer
- session-cookies im Browser anscheinend nicht vorhanden bzw wo kann ich die Cookies sehen/checken? Habe unter Firefox Seiteninformationen/Sicherheit geschaut,
da wird aber nichts aufgeführt.

Ich verwende noch JTL-Shop 405.3, da bisher alles reibungslos funktionierte (never touch a running system). Leider weiß ich nicht mehr ganz genau, was im Backend
bei den Cookies bzw bei SSL steht, www oder nicht, aber ich meine, da wurde 'ohne www' eingetragen wie in der config-Datei.

Ich muss dazusagen, dass ich erstens wenig Ahnung von der php-Materie habe, zweitens die kostenfreie Shop-Version 405.3 verwende, und daher wohl kein Ticket
bekomme. Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte (vielleicht ist bei css-umsetzung nochmal schlechtes Wetter !

 

[css-umsetzung]

Ich muss dazusagen, dass ich erstens wenig Ahnung von der php-Materie habe, zweitens die kostenfreie Shop-Version 405.3 verwende, und daher wohl kein Ticket
bekomme. Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte (vielleicht ist bei css-umsetzung nochmal schlechtes Wetter !

Du bist nicht allein.... hier lesen alle mit

Mein Urlaub ist schon lange vorbei
Bei simplesmoke war ja in der config so ziemlich alles falsch, aber das was ich da aufgelistet habe, ist ein guter Ansatz zum prüfen.

Wenn ich aber deinen Screenshot da anschaue scheint es ja so zu sein das die Benutzerrechte auf dem Server auch nicht passen oder die Festplatte voll ist.
Ich kann mir das gerne anschauen aber je nachdem ob ich da viel suche oder Zeit investiere, muss ich das am Ende auch berechnen.

Also nicht zögern und mich anschreiben oder anrufen, ich würde Daten für den Admin und ftp brauchen.

 

[Arndt]

Hallo,
vielen Dank für die Antwort! Auf einen Versuch würde ich es gern ankommen lassen.
Kann ich dir wg Admin + FTP ne PN schicken (finde das hier grad nicht)? Sonst schau ich morgen auf deine Website.
Gruß und schönen Abend
Arndt

 

[css-umsetzung]

Wenn ich ein Problem nicht löse berechne ich nichts.
Ja einfach an meine e-mail senden dann schaue ich es mir an.

 

[Arndt]

Ich habs jetzt erstmal selber hingekriegt, es war tatsächlich der volle Speicherplatz auf dem Server, den ich komplett übersehen hatte. Trotzdem werde ich gern auf dein Angebot zurückkommen, wenn mal wieder Probleme auftauchen. Gruß.