Contao setzt ungültige Token String Anfrage ohne erkennbares Muster

[gwen]

Hallo liebe Contao Foristen,

- die betroffene Contao Version ist die 4.4.18

- Drittanbieter-Erweiterungen im Einsatz:
- christianbarkowsky/tabcontrol
- codefog/contao-cookiebar
- codefog/contao-mobile_menu
- heimrichhannot/contao-slick

- der Webshoster ist pcom.de
- die PHP Version ist die 7.1.20
- nach Lösungen des Problems bereits im Forum gesucht, gefunden, umgesetzt oder unserem Kunden an die Administratoren weitrgeleitet, ohne Lösung des Fehlers
- die IT Infrastruktur ist laut Aussage unserem Kunden in seinem Betrieb sehr scharf eingestellt.
- Fehler tritt in Firefox, IE, Chrome auf.

Zu meinem Problem.

Ich wende mich mit einem Problem an euch, da alle bisherigen Lösungen nicht zum Ziel führten.

Bei einem Kunden von uns kommt es in unregelmäßigen Abständen zu dem Phänomen, dass er beim Einpflegen seiner Artikel ohne ersichtlichen Grund aus dem Backend geworfen wird.
Dabei erscheint die folgende Fehlermeldung, dass der Token String neu gesetzt wird. Das Vorkommnis kommt in unregelmäßigen Abständen, mal 1 Stunde, mal 4 Stunden, ohne bestimmtes Muster für Anhaltspunkte.
(siehe Anhänge)

Ich habe mich. dann auf die spärliche Fehlersuche begeben, da wir keinen Einblick in die IT und sonstige Netzwerk-Konfigurationen unseres Kunden haben und nur den Zugang zu dem Contaoprojekt und Webhoster haben.

Contao-seitig habe ich folgendes probiert.

- Anfrage-Token deaktiviert habe ich gemacht, um den Fehler einzugrenzen. Ohne Erfolg, es wurde jedeglich keine Fehlermeldung mehr gefeuert.
- IP-Prüfung deaktivieren habe ich ebenfalls gemacht, ohne Erfolg


Ich kann mich hier nur auf die Aussage unseres Kunden beziehen, dass das alles keine Erfolg brachte.


Ich habe auch schon durch das Suchen im Forum Lösungen auf Github gefunden, wie man den Token String codeseitig neu hashen kann, dass der User nicht mehr aus dem Backend ausgeloggt wird. Der Nachteil ist, dass damit eine Sicherheitslücke geöffnet wird. Leider habe ich nicht die nötigen Befugnisse dafür, da ich nur beauftragt wurde und ich weiß, dass Anfrage-Tokens ab Contao 4 der Sicherheit auf Kosten der Benutzerfreundichkeit dient und die Contaomacher sich dafür so entschieden haben. Also codeseitig habe ich noch nichts unternommen, was die letzte Instanz wäre. Ein Punkt ist mir noch verdächtig, dass es auch an einem Proxy (oder Firewall) liegen könnte, der hier auch besprochen wurde. Das habe ich dann weitergegeben, mal dort anzusetzen und nachzusehen. Leider wiesen die Administratoren jegliche Arbeit von sich ab, da sie sich mit Contao nicht auskennen, zum Leidwesen unseres Kunden. Der Vorschlag, es von zuhause zu probieren, um den Fehler einzugrenzen, kann unser Kunde nicht nachgekommen, da er keine Zeit hat, sich so lange vor den Rechner zu setzen, bis der Fehler kommt.



Mein Anliegen ist es jetzt, ob jemand von euch weiß oder selber vielleicht schon das Problem hatte, wo man etwas einstellen, programmieren, (webhosting etc.) muss und an welcher Stelle genau, damit der User nicht mehr in unregelmäßigen Abständen aus dem Backend abgemeldet wird. In allen anderen Contaoprojekten haben wir das Problem nicht. Vielleicht ist das schon ein kleiner Hinweis.



Vielen Dank schon mal für eure Hilfe.
gwen

[Spooky]

Bevor du irgend etwas testest solltest du auf Contao 4.4.20 aktualisieren.

[gwen]

Vielen Dank für den Hinweis. Das werde ich morgen gleich an die Projektzuständige weitergeben und melde mich dann wieder, wenn es etwas neues gibt.

LG.

[PaddySD]

Soweit ich das weiss, ist das ein gänzlich normaler Vorgang. Wenn dieses Stop-Zeichen erscheint, hast Du mit einer aktiven Sitzung das BE geöffnet (irgendwas gemacht, egal). Danach die Seite offen stehen lassen, und längere Zeit nichts mehr gemacht. Dadurch läuft Deine Sitzung aus. Danach musst Du Dich neu anmelden.

Dadurch, dass Du eine nicht mehr aktive Session versuchst aufzurufen, kommt diese Meldung, denn der Link stimmt ja grundsätzlich (also alle anderen Angaben), es gibt eben nur keine dazugehörige Session, die dieses Token verifiziert (jetzt eben nicht mehr, weil abgelaufen).

Alles also ganz normal, Du kannst dieses Verhalten dadurch ändern, dass Du die Session Zeit im BE verlängerst.

[gwen]

Hallo,

das habe ich vielleicht undeutlich ausgedrückt. Das passiert laut Aussage auch, wenn der Kunde aktiv im Backend ist und Artikel einpflegt. Nach dem Speichern wird er rausgeworfen.

Noch wichtig. Der Provider ist nicht All inkl. sondern pcom.de

Update: Ich hatte die Version aus dem Backend von Contao abgelesen. Die Version soll aber nicht die 4.4.18 sein, wie mir gesagt wurde, sondern die aktuellste. Contao soll Probleme haben die richtige Version anzuzeigen.

LG.

[lucina]

Ein Punkt ist mir noch verdächtig, dass es auch an einem Proxy (oder Firewall) liegen könnte, der hier auch besprochen wurde. Das habe ich dann weitergegeben, mal dort anzusetzen und nachzusehen. Leider wiesen die Administratoren jegliche Arbeit von sich ab, da sie sich mit Contao nicht auskennen, zum Leidwesen unseres Kunden. Der Vorschlag, es von zuhause zu probieren, um den Fehler einzugrenzen, kann unser Kunde nicht nachgekommen, da er keine Zeit hat, sich so lange vor den Rechner zu setzen, bis der Fehler kommt.

Möglicherweise ist das aber ein der Punkt, an dem der User rausgeworfen wird - wenn er sich hinter einem Proxy oder hinter mehreren Routern sitzt und der Traffic über unterschiedliche IP-Adressen geleitet wird. Es ist ja keine Arbeit für Admins, zu sagen, ob dem so ist und dann die möglichen Proxy-IPs in die localconfig.php einzutragen.

Versionsanzeige: Wenn da jetzt 4.4.18 steht und der Anwendungscache geleert wurde, dann ist es auch 4.4.18. Es gab mal Versionen, in denen das nicht angezeigt wurde - das ist aber schon etwas länger her.

[Spooky]

Update: Ich hatte die Version aus dem Backend von Contao abgelesen. Die Version soll aber nicht die 4.4.18 sein, wie mir gesagt wurde, sondern die aktuellste. Contao soll Probleme haben die richtige Version anzuzeigen.

Nein, du hast immer noch 4.4.18. Führe folgendes Kommando aus:

Code:

composer require contao/core-bundle:^4.4.20

[gwen]

Wir haben den /prod gelöscht und auf Cache leeren (im CM + Contao Systemwartung) geklickt, ohne Erfolg.
Im Contao Manager wird die 4.4.20 angezeigt. Im Contao selber weiterhin die 4.4.18.

Zusätzliche aktive Erweiterungen sind folgende, wie ich vorhin mitgeteilt bekam. (Bevor jemand fragt, nein, ich habe keinen Backend Zugang zu diesem Contao Projekt, dass ich das vorher gewusst haben müsste. Ich gebe alles nur weiter und schaue dann ggf. über den Code drüber, falls dort was geändert werden muss)

- christianbarkowsky/tabcontrol
- codefog/contao-cookiebar
- codefog/contao-mobile_menu
- heimrichhannot/contao-slick

LG.

[Spooky]

Wie gesagt, aus irgendeinem Grund ist bei dir noch Contao 4.4.18 installiert. Der Contao Manager zeigt dir nur die Version der Managed Edition an, nicht des Core Bundle. Um das zu beheben, solltest du das contao/core-bundle in der Version ^4.4.20 requesten.

[gwen]

Mach ich. Wir müssen jetzt nur noch warten, dass wir von dem Provider eine ssh Freigabe bekommen, dann installiere ich den composer und update Contao.

[Spooky]

Du kannst auch direkt in der composer.json "contao/core-bundle": "^4.4.20" eintragen und über den Contao Manager aktualisieren.

[gwen]

okay. ich habe die Zeile durch ^4.4.20 ersetzt. Jetzt läuft der CM seit 770 Sekunden. Der Testlauf lief erfolgreich durch.

"require": {
"contao/core-bundle": "4.4.*",
"contao/installation-bundle": "^4.4.20",
},

LG.