• Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.

XF1.x Cookie Problem?

otto

otto

Die 5k-Labertasche
Lizenzinhaber
Registriert
11. Dez. 2010
Beiträge
5.215
Punkte
448
XF Version
  1. 2.2.15
XF Instanz
Hosting
PHP-Version
8.2.x
MySQL/MariaDB
10.3.x
Provider/Hoster
Strato/Hetzner
Um Dir am besten Helfen zu können, solltest du ein paar Grundlegende Informationen bereithalten.

Xenforo Version: 1.5. (aktuellste)
(Neuinstallation oder Upgrade von XF1)
Installierte AddOns inkl. Version: zu viele
PHP Version: 7.3.x
MySQL Version: Maria DB 10.3.x

Fehlermeldung:
Code: 
Das Cookie “xf_notice_dismiss” wird in Zukunft bald abgelehnt werden, da es für das Attribut "sameSite" entweder "none" oder einen ungültigen Wert angibt, ohne das "secure"-Attribut zu verwenden. Weitere Informationen zum "sameSite"-Attribut finden Sie unter https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
Letzten Änderungen: keine, aber seit Firefox Update 77.0 und bis zum 78.01
Schritte zur Reproduktion: login-Probleme, Browser ruft nicht die aktuellen Inhalte sondern den Cache auf (nur FF ab 77.0 bis 78.01 !!)

Link zum Forum: Hobby-Gartenteich UND/ODER Zetor-Forum.de - von und für Traktor Fans
------------------------------------------------
Erläuterung des Fehlers:

Jemand ne Idee?

Seit dem Firefox Update auf Version 77.0 haben dessen Nutzer Probleme mit dem Login oder eingeloggt bleiben und auf den Portalen werden wohl veraltete Ansichten geladen.

Momenatanter Workaround:
1. Öffnet Firefox
2. in der Browser Adresszeile "about:config" eingeben und mit ENTER bestätigen
3. Warnung betätigen und fortfahren, dann in der Such-Zeile oberhalb nach "cache" suchen lassen
4. die Zeile "browser.cache.check_doc_frequency" doppelt anklicken oder nach Rechtsklick im Kontextenü bearbeiten auswählen
6. den Standardwert von "3" auf "1" setzen
7. bestätigen mit "OK" oder ENTER

Diese Werte sind da verfügbar:
0 = einmal pro Browser-Sitzung
1 = jedes mal neu laden
2 = nie neu laden
3 = automatisch oder wenn erforderlich
Da 3 nicht so recht zu funktionieren scheint seit dem Update, würde ich vorübergehend es mit "1" versuchen und auf weitere Browser-Updates warten.
Zum Vergrößern anklicken....

Jemand ne Idee? Die Konsole (FF, F12) gibt keine Fehler aus, nur Warnungen und Infos. Jemand ne Idee? Am Forum wurde jeweils seit Monaten nichts geändert, es traten die Fehler nachweislich mit/ab dem Update auf V 77.0 und nur beim Firefox auf.

upload_2020-7-6_11-0-38.png
 
Zuletzt bearbeitet:
Hast du das mal mit einem anderen Browser getestet?

Firefox hat in den letzten Versionen sehr viel für die Sicherheit getan kann gut sein das XF1.x noch Optionen verwendet die mittlerweile blockiert wurden.
Vielleicht wäre das in einem FF Forum gut aufgehoben? Falls hier nicht zufällig wer ist der sich intensiv mit dem Browser beschäftigt.
 
Nun es betrifft (laut meiner FF nutzenden Nutzer) wohl ausschließlich meine und teils andere XF Foren auf 1.5.x Basis, aber wohl nicht alle.

FF hab ich schon damals als die dessen Speicherhunger nicht in den Griff bekamen abgeschrieben. Wäre ja n Ding, wenn der FF wenigstens den Fehler benennen könnte, so dass man gezielt was tun kann.
 
Keiner ne Idee?

Ich komm auch über die Entwickler-Konsolen nicht auf eine Lösung für den FF Dilemma... was ne Kacke mal wieder.
 
Das selbe hast du im übrigen in Chrome mit Cloudflare.

upload_2020-7-11_14-40-51.png

Das wird kommen, Mozilla und Google haben diese Implementation zum Glück nach hinten verschoben, sollte eigentlich schon im März kommen, bzw. ist jetzt aktuell in abgeänderter Version enthalten.

Das ist, wie Tealk schon sagt, aus Sicherheitsgründen realisiert worden, im Identitätsdiebstahl bzw. Authentication injection zu unterbinden. (Beispiel: Ich jubel dir einen Cookie unter, der aussieht als wäre der Admin eingeloggt.)

Am Ende des Tages ist das allerdings etwas, was von XF geliefert werden sollte, denn sonst musst du einen Core Hack machen um das zu fixen. Der Cookie wird meine ich von xenforo,js gesetzt, wenn ich das richtig gesehen habe.
 
So schaut es aus, ja - ich hab da schon bisl was versucht, aber mir fehlt echt die Zeit für sowas. Xenforo wird wohl keinen Patch liefern, befürchte ich.
 
Zum Thema (ich denke es zumindest) passt dieses hier wo u.a. Chris D antwortet:
Implemented - Support SameSite cookie attribute
Mit XF 2.2 wird SameSite in Verbindung mit PHP 7.3.x wohl endlich unterstützt.

Das hilft mir bei meinem Problem, mit XF 1.5.24 und PHP 7.3.x aber irgendwie nicht wirklich weiter:
XF 1.5 - Trouble to load actual content at Xenforo 1.5.24 with FireFox v77 and above

Was also kann man machen? ich werde sicher auf 2.2 wechseln, aber bis dahin laufen meine FF Nutzer Amok oder bleiben weg, was Mist ist. :(
 
Ich weiß natürlich nicht wer alles Firefox benutzt, aber weder als ich PHP 7.3 nutzte noch mit 7.4 hat irgendjemand ein solches Problem in meinem Forum gemeldet. Das läuft mit der aktuellsten XF 2.1. Vielleicht tritt es dort in verschiedenen Konstellationen nicht auf. Daher würde ich mal in einem Testsystem das Forum klonen und auf die 2.1 bringen und es ausprobieren. Was anderes fällt mir nicht ein.
 
Ich werd auf 2.2 gehen, wenn das mal fertig ist und unsere Addons damit laufen. Nen Zwischenschritt der wieder erheblich Zeitaufwand bedeutet wollt ich mir ersparen, da Zeit mein größtes Problem ist.

Ich fands interessant von Chris erst das PHP Update und dann die 2.2 als Lösung genannt zu bekommen, ersteres ist lange auf 7.3.x und letzteres noch lang nicht stabil verfügbar auch wenn die Betas bisher ganz manierlich daher kommen.

Deweiteren hab ich ja hier und auch drüben mehrfach hinterfragt, ob das Problem durch die Cookie Geschichte zustande kommen könne oder ob ich ganz wo anders ansetzen muss. Denn die Entwicklerkonsole gibt nicht viel her, von daher tappe ich schon gut im dunkeln....
Ein Supportticket für 1.5.x brauch man auch nimmer ziehen, das geht denen ja schon ne ganze Weile am A... vorbei. Blöd nur, das 2.0 und 2.1 bisher noch nicht so der Bringer waren, was sich für meine Einsätze mit 2.2 schon (endlich) ändert.

Wer sich das mal anschauen mag, soll auch nicht komplett umsonst sein, die betroffenen Foren hab ich in der Sig (ich bin da voll öffentlich :D ;) )
 
Der FF spuckte nun doch noch was aus, das aber nur im Portal (Jaxel) und auch das man auch trotz logout weiter angemeldet angezeigt wird, scheint erstmal nur im Portal (Einstiegsseite) der Fall, wechsel ich nach dem Logout auf die Foren-Übersicht z.B. werde ich auch als ausgeloggt angezeigt. Zurück im Portal zeigt er mich eingeloggt, aber wenn ich etwas aufrufe, was nur eingeloggt möglich ist, bekomme ich sofort den Hinweis, das es nicht ginge weil nicht eingeloggt.

Im Portal, NICHT in der Forenübersicht, zeigt die FF Dev Konsole nun dies an:
upload_2020-8-26_20-16-44.png
 
Q'n'd hack für Xenforo 1

In der config.php müssen die Cookie-Einstellungen gesetzt werden: XenForo's handing of cookie domains

Dann das samesite-Attribut einfach an den path hängen, z.B.

PHP: 
// siehe edit

in xenforo.js suchen nach:

Code: 
// siehe edit

ungetestet

Edit: bitte Ressource verwenden XF1.x - Cookie SameSite Support
 
Zuletzt bearbeitet:
Danke, dann teste ich das mal.

Frage, sollte nicht auch das Flag secure angefügt werden? Oder brauch es das nur bei samesite=none statt lax?
 
Ändere ich die Stellen in der xenforo.js (in min und full) ist erstmal noch alles i.O.
Ändere ich die Config wie beschrieben, ist kein einloggen mehr möglich. :smoke::kap:
 
Test läuft... :)
 
So, das scheint zumindest technisch zu funktionieren im Sinne von, keine Fehler.

Ergebnis bez. Cookies:
upload_2020-8-28_20-35-52.png

Müsst jetzt nicht bei secure bei allen Cookies der Haken sein?

Test mit dem FireFox steht noch aus.
 
Kommando zurück, auch das Setzen von lax in der letzten beschriebenen Version fürt bei mir in Chrome und FF dazu dass man sich gar nicht mehr ein- oder ausloggen kann, dass das Cookie also offenbar abgelehnt/verworfen wird.

Mit Rücknahme der Änderungen in der Xenforo/Helper/Cookie , aber Beibehaltung deines Tipps in den xenforo.js schaut es nun wieder so aus:
upload_2020-8-28_20-45-45.png

Der Cookie xfzfde_notice_dismiss resultierte offenbar noch aus der zuvor probierten Anpassung der config.php, welche vor den Änderungen in der cookie.php aber bereits auf original zurück gesetzt wurde. Möglich, das ich da den Cookie Cache zuvor nicht geleert hatte.


Sieht so aus, das sobald man samesite=lax setzt, der cookie nicht mehr als secure angesehen wird. Warum, versteh ich derade noch nicht.
 
Zuletzt bearbeitet:
Top, teste das bis Mittwoch mal und geb Feedback dazu. Vielen Dank schon mal. Wenn das läuft, hoffe ich du hast n Spendenkonto... :D ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben