Fehlerhafter XSRF-Token

**Tim Düsterhus** · May 10, 2023 at 3:33 PM Official Post

Hallo,

wir haben zwischenzeitlich eine Meldung eines anderen WoltLab Cloud-Kunden erhalten. Bei der Recherche sind wir auf

Safari 16.4 seems to lose session … | Apple Developer Forums

und

255524 – REGRESSION (Safari 16.4): Safari sometimes doesn't send cookies for assets requests and javascript fetch requests

gestoßen. Offenbar liegt hier ein Bug in Safari 16.4+ vor, für den es gemäß der Kommentare im WebKit Bugtracker aber einen Workaround gibt, der auch für WoltLab Suite anwendbar ist:

Drop the SameSite attribute from the XSRF-Token cookie to work around… · WoltLab/WCF@832de36

… WebKit Bug 255524 It appears that Safari 16.4+ sometimes loses SameSite cookies without explicit expiry when performing subrequests, e.g. to load JavaScript…

github.com

Der Workaround wird im nächsten Update für WoltLab Suite 5.5 inkludiert sein, die Veröffentlichung erfolgt voraussichtlich am Dienstag.

Ursula · May 10, 2023 at 4:15 PM

Hallo Tim Düsterhus , tausend lieben Dank! Das ist ja klasse!

Hundiiiiiiiiii · May 10, 2023 at 4:21 PM

Da bin ich ja mal gespannt, das hier hat mich in den letzten Tagen und Wochen auch fast in den Wahnsinn getrieben 🌝

kirmesparkworld.de · May 10, 2023 at 6:27 PM

WOW, sehr cool. Danke

innvdb · May 13, 2023 at 1:25 AM

Bei mir das gleiche Problem seit einigen Tagen, obwohl nichts verändert wurde. Ich habe die Probleme nur beim Login.

Hanashi · May 16, 2023 at 9:26 AM

Sehr schön, aktuell ist woltlab.com bei mir kaum noch nutzbar. Bei fast allen Aktionen, die ich durchführe kommt diese Meldung.

**Tim Düsterhus** · May 16, 2023 at 9:28 AM Official Post

Hallo,

Quote from Hanashi

Sehr schön, aktuell ist woltlab.com bei mir kaum noch nutzbar. Bei fast allen Aktionen, die ich durchführe kommt diese Meldung.

die Korrektur sollte hier (seit Freitag) schon aktiv sein. Wenn du die jetzt bei fast allen Aktionen erhältst, dann ist die Korrektur fehlerhaft und oder unvollständig.

Hanashi · May 16, 2023 at 9:37 AM

Quote from Tim Düsterhus

Wenn du die jetzt bei fast allen Aktionen erhältst, dann ist die Korrektur fehlerhaft und oder unvollständig.

Ich war jetzt länger nicht hier, aber seit heute tritt das Problem auf jeden Fall hier auf bei mir.

Black Rider · May 16, 2023 at 4:37 PM

Ich konnte das bei mir hier nicht feststellen. Hast du mal deine Browserdaten gelöscht und dich neu angemeldet? Vielleicht klemmt da irgendwas.

**Tim Düsterhus** · May 23, 2023 at 9:27 AM Official Post

Hallo,

gibt es hier eigentlich Feedback: Ist es seit dem Upgrade auf 5.5.12 besser geworden?

Laut WebKit-Issue-Tracker ist der Fehler übrigens auch in Safari 16.5 noch nicht korrigieren.

Hanashi · May 23, 2023 at 9:42 AM

Hallo,

Quote from Tim Düsterhus

Ist es seit dem Upgrade auf 5.5.12 besser geworden?

ich habe seitdem keine Probleme, aber nachdem ich schon vor dem Update einmal CMD+R gedrückt hatte, lief es schon ohne Probleme, wie wir ja bereits untereinander kommuniziert hatten.

**Tim Düsterhus** · May 23, 2023 at 9:50 AM Official Post

Hallo,

Ja, primär richtete sich die Frage an Betreiber auf den eigenen Seiten. Hier auf WoltLab.com können wir es anhand der Access-Logs nachhalten: Innerhalb der letzten 72 Stunden waren es – unter Abzug von Google, Bing und Yandex [1] – insgesamt 12 AJAX-Anfragen, die mit der Fehlermeldung fehlgeschlagen sind. Darunter genau 2 von einem Safari 16.4.

[1] Die offenbar mitunter zum Test Cookies deaktivieren.

bundesliganews · May 23, 2023 at 10:06 AM

Tim Düsterhus In meinem Forum ist die Meldung seit Version 5.5.12 nicht mehr aufgetreten.

Ursula · May 23, 2023 at 10:27 AM

Ja, der Fehler ist weg, tausend lieben Dank!

Wohnwagen_Forum · May 23, 2023 at 10:58 AM

Bei uns war der Fehler schon weg gewesen seit diesem Eintrag

Post

RE: Fehlermeldung fehlerhaften XSRF-Tokens

[…]

Sooo, habe es zuerst im Testboard umgesetzt, und dort ging es einwandfrei. Jetzt im Live Forum die .htaccess eingetragen, und alles super.

Gefühlt geht alles schneller, da wohl keine "http" Seiten mehr gesucht werden. Bis jetzt auch kein XSRF Fehler.

Ich habe auch deinen Rat befolgt, und den HST Header mit eingetragen.

Der Eintrag sieht so aus:

RewriteEngine On

RewriteCond %{SERVER_PORT} !^443$

RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Header set Strict-Transport-Security…

Wohnwagen_Forum

April 11, 2023 at 10:32 PM

Von daher auch Danke

Grüße

kirmesparkworld.de · May 23, 2023 at 11:17 AM

Quote from Tim Düsterhus

Hallo,
Ja, primär richtete sich die Frage an Betreiber auf den eigenen Seiten. Hier auf WoltLab.com können wir es anhand der Access-Logs nachhalten: Innerhalb der letzten 72 Stunden waren es – unter Abzug von Google, Bing und Yandex [1] – insgesamt 12 AJAX-Anfragen, die mit der Fehlermeldung fehlgeschlagen sind. Darunter genau 2 von einem Safari 16.4.
[1] Die offenbar mitunter zum Test Cookies deaktivieren.

Wir haben das Problem auch nicht mehr. Danke für die schnelle Lösung.

**Tim Düsterhus** · May 23, 2023 at 11:35 AM Official Post

Hallo,

vielen Dank für die zahlreichen Rückmeldungen. Das klingt vielversprechend, ich verschiebe das Thema daher in die erledigten Fehler.

maxmobil · May 24, 2023 at 8:07 AM

Quote from Tim Düsterhus

gibt es hier eigentlich Feedback: Ist es seit dem Upgrade auf 5.5.12 besser geworden?

Auch hier keine weiteren Fehlermeldungen lt. betroffenen Usern.

Highscorebreaker Joe · June 15, 2023 at 2:47 PM

Ich hoffe es ist okay, dass ich den als erledigt markierten Thread kurz auskrame Ein User in unserem Forum, das noch auf das WSC 5.4 basiert, meldete das gleiche Problem bei uns. Mangels Mac kann ich den Fehler selbst leider nicht reproduzieren, weswegen ich aktuell nur vermuten kann, dass es sich um den hier besprochenen Fehler handelt. Wenn ich es richtig sehe, steht der Bugfix für den Fehler bisher nur für das WSC 5.5 zur Verfügung. Gibt es dafür bestimmte Gründe?

**Tim Düsterhus** · June 15, 2023 at 3:19 PM Official Post

Hallo,

Quote from Highscorebreaker Joe

Gibt es dafür bestimmte Gründe?

Zum Zeitpunkt der Korrektur war noch nicht klar, ob die Korrektur wirklich zuverlässig den Fehler korrigiert und keine negativen Auswirkungen hat, auch da wir selbst den Fehler nie reproduzieren konnten. Das Session-System im allgemeinen ist eben auch ein sicherheitsrelevanter Bestandteil der Software und die Korrektur deaktiviert eine defense-in-depth-Maßnahme im Session-System.

Ich habe die Korrektur jetzt nach WoltLab Suite 5.4 zurückportiert. Wenn du die Änderung selbst vorab vornehmen willst, dann findest du den entsprechenden Commit weiter oben verlinkt.

Unabhängig davon empfehle ich ein Upgrade auf WoltLab Suite 5.5

Fehlerhafter XSRF-Token

Tim Düsterhus May 10, 2023 at 3:38 PM

Tim Düsterhus May 10, 2023 at 3:38 PM

Alexander Ebert May 11, 2023 at 4:43 PM

RE: Fehlermeldung fehlerhaften XSRF-Tokens

Tim Düsterhus May 23, 2023 at 11:35 AM

Alexander Ebert June 15, 2023 at 3:35 PM

Participate now!

Tim Düsterhus May 10, 2023 at 3:38 PM

Tim Düsterhus May 10, 2023 at 3:38 PM

Alexander Ebert May 11, 2023 at 4:43 PM

RE: Fehlermeldung fehlerhaften XSRF-Tokens

Tim Düsterhus May 23, 2023 at 11:35 AM

Alexander Ebert June 15, 2023 at 3:35 PM

Participate now!

Tim Düsterhus May 10, 2023 at 3:38 PM

Tim Düsterhus May 10, 2023 at 3:38 PM

Alexander Ebert May 11, 2023 at 4:43 PM

Tim Düsterhus May 23, 2023 at 11:35 AM

Alexander Ebert June 15, 2023 at 3:35 PM