Fehlermeldung bei Seitenaufruf mit iphone4/4s bei Benutzung von Quicklink/Quicknav

[Moppi]

Hallo allerseits,

Die Fehlermeldung:
"Ungültiger Anfrage-Token
Was ist das Problem?

Der Request-Token konnte nicht validiert werden.
Wie kann ich das Problem lösen?

Bitte klicken Sie diesen Link und versuchen Sie es erneut. Verwenden Sie nicht die Zurück-Schaltfläche Ihres Browsers...."

Die Vorausetzungen:
Gerät: iphone4S, ios 7.1 bzw. 7.1.2 und auch iphone4, ios 6.1.3
Ein Layout zuweisen: Layout für mobile Seiten> angelegt+aktiviert
Aufruf der Startseite: ok
Bei Aufruf einer Folgeseite: o.g. Fehlermeldung

Keine Fehlermeldung bei:
> Bei Deaktivierung des Anfrage-Tokens
> Ein Layout zuweisen: Layout für mobile Seiten> ohne, oder das gleiche wie Desktop
> Gerät: iphone5S, ios 7.2.1
> Gerät: iphone3GS, ios 6.0.1


zur Website: http://goo.gl/r0ZB4x

Hat jemand eine Idee, was da los ist?

Gruß und Dank, Moppi

[Moppi]

Hallo allerseits,

ich habe mir grade mal die ersten 30 Fallstudien auf https://contao.org/de/case-studies.html angesehen. Da bekomme ich die Fehlermeldung auf 3 Seiten:

http://www.sagerbeton.de/

http://www.anetsberger-architektur.de/

http://www.spvgg-landshut.de/

Das Problem scheint also kein Einzelfall zu sein.

Gruß, Moppi

[lucina]

Ich kann es jetzt technisch nicht nachhalten, kann mir aber vorstellen, dass ein veraltetes Template für die Quicknavigation eine Rolle spielen könnte.

[Moppi]

Hallo lucina,

ich bin deinem Hinweis gefolgt und habe es jetzt testweise mit Quicklink und Quicknav probiert. Benutze ich eines von beiden, bekomme ich die Meldung. Benutze ich das Navigationsmenü der Desktop-Version, gibt's keine Meldung.

Die Frage ist nun, wie ich mit dem Problem umgehen soll? Entweder die Navigation mit einer anderen Erweiterung oder mit eigenem html umsetzen oder die Anfrage-Tokens dauerhaft deaktivieren, aber wie hoch wäre dann das potentielle Sicherheitsrisiko?

Gruß und Dank, Moppi

[lucina]

Dann schau doch mal bitte das Template an, das Probleme macht. Hintergrund zum request-Token unter https://contao.org/de/news/contao_2-10-RC1.html

Wenn im entsprechenden Template nichts drin steht dann trage es nach.

[Moppi]

Die Templates sehen schon richtig aus - ich hatte vergessen zu erwähnen, dass es sich bei mir um Version 3.2.9 handelt.

[lucina]

Und es steht exakt dasselbe drin wie in https://github.com/contao/core/blob/...uicknav.html5? Auch bei einer eventuell unter /templates gelagerten Kopie?

[Moppi]

Das Template ist exakt das selbe.

Wie hoch wäre denn das "potenzielle Sicherheitsrisiko", vor dem gewarnt wird, wenn man die Anfrage-Tokens deaktiviert?

[lucina]

So, jetzt endlich mal ein Mobilgerät in der Hand - und was soll ich sagen? Weder bekomme ich den RT-Error auf deiner Seite noch auf einer der von Dir genannten angeblich ebenfalls betroffenen Seiten: iPhone 5 mit iOS 7.1.2, Verbindung sowohl via WLAN als auch via LTE.

Deine Verbindung? Gibt es unterwegs einen Proxyserver oder einen Loadbalancer?

[Max Kittel]

iPhone 4S, / 7.1.2 -> funktioniert ohne Fehlermeldung.
Ebenfalls keine Fehlermeldung bei den von Dir genannten Seiten.

[Moppi]

Ja, ist schon richtig, mit iphone5/ios 7.2.1 funktioniert alles bestens. Das Problem tritt wirklich nur mit ipone4 bzw. 4s auf - egal ob Wlan oder 3G.

Noch mal zur Frage der dauerhaften Deaktivierung der Anfrage-Tokens: Was genau ist das "potenzielle Sicherheitsrisiko" bzw. was kann schlimmstenfalls passieren?

[lucina]

Contao kann nicht verifizieren von wem die Anfrage kommt. Mögliches Cross-Site-Scripting-Loch.

EDIT: Nach Recherche scheint es sich um einen Bug in 7.1.1 zu handeln. Gibt es irgendeinen Grund dafür, das Telefon nicht upzudaten? IMHO nicht. Apple ist da leider etwas sparsam mit Disclosures, aber die Liste der Änderungen unter http://support.apple.com/kb/HT6297 ist recht lang.

[Moppi]

Ok, sieht aus, als lässt sich das erstmal nicht lösen.

Meine Optionen:
> Quicklink-Menü durch Alternative ersetzen= Arbeitsaufwand
> Anfrage-Tokens deaktivieren= Sicherheitsrisko
> Anfrage-Tokens nicht deaktivieren= Ausschluss einer Besuchergruppe

Vielen Dank für die Hilfe!

Gruß, Moppi