behoben Startseite nicht aktuell beim Aufruf und Login Probleme- Firefox ab Version 77

Joachim · 17. Sep. 2020

Ja... auf Kosten der max. Sicherheit.

Ich vermute mal, (bin nun weiter am Testen...) das es hieran liegt:

Der Eintrag in der Config (Auszug) vom Forum (Teil des Patches):

Code:

'samesite' => 'strict'

Hab zum Thema "strict", "lax" oder "none" hier einen netten Beitrag gefunden, der das von mir zuvor geschilderte Verhalten mAn. ein Stück weit erklärt:
SameSite Cookies - Strict, oder soll es doch lieber Lax sein?
(bis in die Mitte scrollen zum Punkt "strict oder lax?"

Wenn ich nicht daneben liege, sollte es mit lax das beobachtete Verhalten nicht geben und alles gewohnt funktionieren.

... allerdings, unter Einbuße eines Stückchens Sicherheit. Wobei immer noch besser lax als none beim Thema samesite und Cookies.

troll20 · 17. Sep. 2020

Jetzt bin ich gerade eben ganz offiziell raus geflogen :box

Und das Thema bei dem ich gerade antworten wollte ist gleich mit weg.

Joachim · 17. Sep. 2020

Joachim schrieb:
Ich vermute mal, (bin nun weiter am Testen...) das es hieran liegt:

DbSam · 17. Sep. 2020

https://blog.viadee.de/samesite-cookies-strict-oder-lax

Joachim schrieb:
... allerdings, unter Einbuße eines Stückchens Sicherheit. Wobei immer noch besser lax als none beim Thema samesite und Cookies.

Na ja, siehe dann aber auch unbedingt die zwei letzten Sätze in dem von Dir verwiesenen Absatz.

Ansonsten:
Mit der dauernden Neuanmeldung in neuen Tabs hätte ich mich auch arrangieren können.
Oder, anders ausgedrückt: Wenn Du die Option 'strict' aus Gründen der Sicherheit wieder setzt, dann lebe ich sehr gern damit.

Wirklich 'hindernd' und etwas ärgerlicher war die "Aktualisiererei" per F5 oder 'neu laden'.
(Wobei das mittlerweile schon fast Normalität war und ich schon nebenbei die F5-Taste geklickert habe. Analog zu VS.Net und SQL SMS F5 = "Run"

)

VG Carsten

Joachim · 17. Sep. 2020

Aktueller Stand:
Patch noch drin, Cookies auf samesite lax statt samesite strict gesetzt.

Nach bisherigen Tests, geht das soweit, ich hab bez. An- Abmeldung im Chrome, Edge, und aktuellen Firefox keine Auffälligkeiten feststellen können.

Wenn ihr mal die Cookies von Hobby-Gartenteich euch anzeigen lasst, also im Chrome bspw. auf das Schlosssymbol links der Adresszeile klicken und dort auf Cookies, dann zeigt der Browser euch die gesetzten Cookies an - also z.B.:

Sollten dort ähnliche zu finden sein, mit anderer Kennung als "xf15..." am Anfang, dann bitte einmal ALLE Cookies löschen und anschließend einmal neu einloggen. Das sollte es dann gewesen sein.

Joachim · 17. Sep. 2020

DbSam schrieb:
Na ja, siehe dann aber auch unbedingt die zwei letzten Sätze in dem von Dir verwiesenen Absatz.

Ansonsten:
Mit der dauernden Neuanmeldung in neuen Tabs hätte ich mich auch arrangieren können.
Oder, anders ausgedrückt: Wenn Du die Option 'strict' aus Gründen der Sicherheit wieder setzt, dann lebe ich sehr gern damit.

Nun, die Sache ist die - von Haus aus, wurde das Attribut samesite einfach gar nicht gesetzt. Dies werten die meisten Browser mit "none" oder "null" und reagieren entsprechend von "ist mir egal" (Chrome, Edge, Safari) bis "uih... das ist wohl nicht so ganz sicher hier" (Firefox) mit entsprechend "lustigen" Fehlern.

Fakt ist, das Attribut "lax" (dt. locker) ist auf keinen Fall so (relativ) unsicher wie "none" bzw. "null" (dt. nicht gesetzt), aber eben nicht so sicher wie es mit "strict" (dt. stringend, strikt) bez. Cookies und Sessions machbar wäre. Ich denke daher das "lax" ein akzeptabler Kompromiss ist, zumal unser Forum ja nun nicht das Homebanking oder die Webseite der Apotheke/des Arztes ist.

Kurz mit der nun gewählten Einstellung der Cookies (lax) sind wir auf jeden Fall besser dran als noch vor 2 Monaten mit "none".

Zum Gesamtproblem der letzten Wochen:
Es war wie sich heute nun heraus stellte eine Kombination aus 2 siche wärend der Fehlersuche überlagernden Ereignissen - Firefox hat seit v77 "Probleme" mit gecachten PHP Dateien (Dynamischen Inhalten) und geht mit dem SameSite Attribut "none" seither härter um als zuvor und härter als es aktuell die anderen Browser tun.
Beide Probleme konnten nach einigem Hin und Her identifiziert und abgestellt werden. Das Forum sollte nun wieder funktionieren und noch dazu sicherer als vor dem Start dieses Themas.

Ich hoffe ich kann das Thema nun auf erledigt setzen.

jolantha · 18. Sep. 2020

Es läuft wieder

ohne F5 , Daaankeee !

Marion412 · 18. Sep. 2020

Anmeldung bleibt auch bestehen über Safari

troll20 · 18. Sep. 2020

Aktuellste Fehlermeldung seit eurem gestrigen Arbeitseinsatz:

Screenshot_2020-09-18-11-31-53-388_com.android.chrome.jpg

Joachim · 18. Sep. 2020

Ja, war ich - DB-Server musste kurz neu starten wegen nem Update. Hatte aber noch geschaut, das laut Online Liste gerade keiner nen Beitrag schreibt... der Neustart des DB-Servers dauert in der Regel kaum länger wie 10 Sekunden... wenn ich mich nicht vertippe auf der Konsole.

Du bekommst aber auch alles mit - das macht mir langsam Angst.

behoben Startseite nicht aktuell beim Aufruf und Login Probleme- Firefox ab Version 77

Joachim

troll20

Vorsicht, täuscht Schläue mit Likes vor!

Joachim

DbSam

Mitglied

Joachim

Joachim

jolantha

Mitglied

Marion412

Mitglied

troll20

Vorsicht, täuscht Schläue mit Likes vor!

Joachim

Benutzer, die dieses Thema gerade betrachten