1. Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.
    Information ausblenden

XF1.x Cookie Problem?

Dieses Thema im Forum "Fehler, Fragen und Antworten" wurde erstellt von otto, 6. Juli 2020.

  1. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Um Dir am besten Helfen zu können, solltest du ein paar Grundlegende Informationen bereithalten.

    Xenforo Version: 1.5. (aktuellste)
    (Neuinstallation oder Upgrade von XF1)
    Installierte AddOns inkl. Version: zu viele
    PHP Version: 7.3.x
    MySQL Version: Maria DB 10.3.x

    Fehlermeldung:
    Code (Text):
    Das Cookie “xf_notice_dismiss” wird in Zukunft bald abgelehnt werden, da es für das Attribut "sameSite" entweder "none" oder einen ungültigen Wert angibt, ohne das "secure"-Attribut zu verwenden. Weitere Informationen zum "sameSite"-Attribut finden Sie unter https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
    Letzten Änderungen: keine, aber seit Firefox Update 77.0 und bis zum 78.01
    Schritte zur Reproduktion: login-Probleme, Browser ruft nicht die aktuellen Inhalte sondern den Cache auf (nur FF ab 77.0 bis 78.01 !!)

    Link zum Forum: Hobby-Gartenteich UND/ODER Zetor-Forum.de - von und für Traktor Fans
    ------------------------------------------------
    Erläuterung des Fehlers:

    Jemand ne Idee?

    Seit dem Firefox Update auf Version 77.0 haben dessen Nutzer Probleme mit dem Login oder eingeloggt bleiben und auf den Portalen werden wohl veraltete Ansichten geladen.

    Momenatanter Workaround:
    Jemand ne Idee? Die Konsole (FF, F12) gibt keine Fehler aus, nur Warnungen und Infos. Jemand ne Idee? Am Forum wurde jeweils seit Monaten nichts geändert, es traten die Fehler nachweislich mit/ab dem Update auf V 77.0 und nur beim Firefox auf.

    upload_2020-7-6_11-0-38.png
     
    Zuletzt bearbeitet: 6. Juli 2020
  2. Tealk

    Tealk Bekanntes Mitglied Lizenzinhaber

    Hast du das mal mit einem anderen Browser getestet?

    Firefox hat in den letzten Versionen sehr viel für die Sicherheit getan kann gut sein das XF1.x noch Optionen verwendet die mittlerweile blockiert wurden.
    Vielleicht wäre das in einem FF Forum gut aufgehoben? Falls hier nicht zufällig wer ist der sich intensiv mit dem Browser beschäftigt.
     
  3. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Nun es betrifft (laut meiner FF nutzenden Nutzer) wohl ausschließlich meine und teils andere XF Foren auf 1.5.x Basis, aber wohl nicht alle.

    FF hab ich schon damals als die dessen Speicherhunger nicht in den Griff bekamen abgeschrieben. Wäre ja n Ding, wenn der FF wenigstens den Fehler benennen könnte, so dass man gezielt was tun kann.
     
  4. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Keiner ne Idee?

    Ich komm auch über die Entwickler-Konsolen nicht auf eine Lösung für den FF Dilemma... was ne Kacke mal wieder.
     
  5. Hoffi

    Hoffi !important Lizenzinhaber

    Das selbe hast du im übrigen in Chrome mit Cloudflare.

    upload_2020-7-11_14-40-51.png

    Das wird kommen, Mozilla und Google haben diese Implementation zum Glück nach hinten verschoben, sollte eigentlich schon im März kommen, bzw. ist jetzt aktuell in abgeänderter Version enthalten.

    Das ist, wie Tealk schon sagt, aus Sicherheitsgründen realisiert worden, im Identitätsdiebstahl bzw. Authentication injection zu unterbinden. (Beispiel: Ich jubel dir einen Cookie unter, der aussieht als wäre der Admin eingeloggt.)

    Am Ende des Tages ist das allerdings etwas, was von XF geliefert werden sollte, denn sonst musst du einen Core Hack machen um das zu fixen. Der Cookie wird meine ich von xenforo,js gesetzt, wenn ich das richtig gesehen habe.
     
    otto und Tealk gefällt das.
  6. otto

    otto Bekanntes Mitglied Lizenzinhaber

    So schaut es aus, ja - ich hab da schon bisl was versucht, aber mir fehlt echt die Zeit für sowas. Xenforo wird wohl keinen Patch liefern, befürchte ich.
     
  7. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Zum Thema (ich denke es zumindest) passt dieses hier wo u.a. Chris D antwortet:
    Implemented - Support SameSite cookie attribute
    Mit XF 2.2 wird SameSite in Verbindung mit PHP 7.3.x wohl endlich unterstützt.

    Das hilft mir bei meinem Problem, mit XF 1.5.24 und PHP 7.3.x aber irgendwie nicht wirklich weiter:
    XF 1.5 - Trouble to load actual content at Xenforo 1.5.24 with FireFox v77 and above

    Was also kann man machen? ich werde sicher auf 2.2 wechseln, aber bis dahin laufen meine FF Nutzer Amok oder bleiben weg, was Mist ist. :(
     
    Masetrix gefällt das.
  8. mph

    mph Bekanntes Mitglied Lizenzinhaber

    Ich weiß natürlich nicht wer alles Firefox benutzt, aber weder als ich PHP 7.3 nutzte noch mit 7.4 hat irgendjemand ein solches Problem in meinem Forum gemeldet. Das läuft mit der aktuellsten XF 2.1. Vielleicht tritt es dort in verschiedenen Konstellationen nicht auf. Daher würde ich mal in einem Testsystem das Forum klonen und auf die 2.1 bringen und es ausprobieren. Was anderes fällt mir nicht ein.
     
  9. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Ich werd auf 2.2 gehen, wenn das mal fertig ist und unsere Addons damit laufen. Nen Zwischenschritt der wieder erheblich Zeitaufwand bedeutet wollt ich mir ersparen, da Zeit mein größtes Problem ist.

    Ich fands interessant von Chris erst das PHP Update und dann die 2.2 als Lösung genannt zu bekommen, ersteres ist lange auf 7.3.x und letzteres noch lang nicht stabil verfügbar auch wenn die Betas bisher ganz manierlich daher kommen.

    Deweiteren hab ich ja hier und auch drüben mehrfach hinterfragt, ob das Problem durch die Cookie Geschichte zustande kommen könne oder ob ich ganz wo anders ansetzen muss. Denn die Entwicklerkonsole gibt nicht viel her, von daher tappe ich schon gut im dunkeln....
    Ein Supportticket für 1.5.x brauch man auch nimmer ziehen, das geht denen ja schon ne ganze Weile am A... vorbei. Blöd nur, das 2.0 und 2.1 bisher noch nicht so der Bringer waren, was sich für meine Einsätze mit 2.2 schon (endlich) ändert.

    Wer sich das mal anschauen mag, soll auch nicht komplett umsonst sein, die betroffenen Foren hab ich in der Sig (ich bin da voll öffentlich :D ;) )
     
  10. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Der FF spuckte nun doch noch was aus, das aber nur im Portal (Jaxel) und auch das man auch trotz logout weiter angemeldet angezeigt wird, scheint erstmal nur im Portal (Einstiegsseite) der Fall, wechsel ich nach dem Logout auf die Foren-Übersicht z.B. werde ich auch als ausgeloggt angezeigt. Zurück im Portal zeigt er mich eingeloggt, aber wenn ich etwas aufrufe, was nur eingeloggt möglich ist, bekomme ich sofort den Hinweis, das es nicht ginge weil nicht eingeloggt.

    Im Portal, NICHT in der Forenübersicht, zeigt die FF Dev Konsole nun dies an:
    upload_2020-8-26_20-16-44.png
     
  11. Boothby

    Boothby Bekanntes Mitglied Lizenzinhaber

    Q'n'd hack für Xenforo 1

    In der config.php müssen die Cookie-Einstellungen gesetzt werden: XenForo's handing of cookie domains

    Dann das samesite-Attribut einfach an den path hängen, z.B.

    PHP:
    // siehe edit
    in xenforo.js suchen nach:

    Code (Text):
    // siehe edit
    ungetestet

    Edit: bitte Ressource verwenden XF1.x - Cookie SameSite Support
     
    Zuletzt bearbeitet: 31. Aug. 2020
    otto gefällt das.
  12. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Danke, dann teste ich das mal.

    Frage, sollte nicht auch das Flag secure angefügt werden? Oder brauch es das nur bei samesite=none statt lax?
     
  13. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Ändere ich die Stellen in der xenforo.js (in min und full) ist erstmal noch alles i.O.
    Ändere ich die Config wie beschrieben, ist kein einloggen mehr möglich. :smoke::kap:
     
  14. Boothby

    Boothby Bekanntes Mitglied Lizenzinhaber

    Zuletzt bearbeitet: 31. Aug. 2020
  15. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Test läuft... :)
     
  16. otto

    otto Bekanntes Mitglied Lizenzinhaber

    So, das scheint zumindest technisch zu funktionieren im Sinne von, keine Fehler.

    Ergebnis bez. Cookies:
    upload_2020-8-28_20-35-52.png

    Müsst jetzt nicht bei secure bei allen Cookies der Haken sein?

    Test mit dem FireFox steht noch aus.
     
  17. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Kommando zurück, auch das Setzen von lax in der letzten beschriebenen Version fürt bei mir in Chrome und FF dazu dass man sich gar nicht mehr ein- oder ausloggen kann, dass das Cookie also offenbar abgelehnt/verworfen wird.

    Mit Rücknahme der Änderungen in der Xenforo/Helper/Cookie , aber Beibehaltung deines Tipps in den xenforo.js schaut es nun wieder so aus:
    upload_2020-8-28_20-45-45.png

    Der Cookie xfzfde_notice_dismiss resultierte offenbar noch aus der zuvor probierten Anpassung der config.php, welche vor den Änderungen in der cookie.php aber bereits auf original zurück gesetzt wurde. Möglich, das ich da den Cookie Cache zuvor nicht geleert hatte.


    Sieht so aus, das sobald man samesite=lax setzt, der cookie nicht mehr als secure angesehen wird. Warum, versteh ich derade noch nicht.
     
    Zuletzt bearbeitet: 28. Aug. 2020
  18. Boothby

    Boothby Bekanntes Mitglied Lizenzinhaber

    Zuletzt bearbeitet: 31. Aug. 2020
    otto gefällt das.
  19. Boothby

    Boothby Bekanntes Mitglied Lizenzinhaber

    Masetrix und otto gefällt das.
  20. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Top, teste das bis Mittwoch mal und geb Feedback dazu. Vielen Dank schon mal. Wenn das läuft, hoffe ich du hast n Spendenkonto... :D ;)
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden