Die Anfrage wurde zurückgewiesen, da der Sicherheitstoken ungültig ist ... (Neuestes Joomla, Problem seit kurzem)

    "Die Anfrage wurde zurückgewiesen, da der Sicherheitstoken ungültig ist. Bitte die Seite aktualisieren und es dann erneut versuchen."

    In folgendem Thread wurde das Problem hier im Forum schon vor 2½ Jahren behandelt. Er steht auf "Erledigt":

    Beitrag
    Joomla System plötzlich fehlerhaft
    Hallo Zusammen,

    ich betreue seit Kurzem den Webshop eines Agentur-Kunden.

    Seit letzter Woche taucht beim Login folgender Fehler auf:

    "Die Anfrage wurde zurückgewiesen, da der Sicherheitstoken ungültig ist. Aktualisieren Sie die Seite und versuchen Sie es erneut."

    Offenbar verursacht der Fehler gleich mehrere Probleme. Bestellungen werden im Warenkorb noch angezeigt, aber offenbar nicht mehr an das Backend übergeben. Im Backend muss seitdem bei jedem Klick die Seite mehrmals neu geladen werden, bis…
    ChristianP

    Da ging es um ein hoffnungslos veraltetes Joomla 3.5.1. Und es wurde keine für mich erkannbare Problemlösung gefunden außer: "Alles updaten"!


    Ich habe jetzt - nachdem es viele Jahre reibungslos lief, seit kurzem* - genau dasselbe Problem bei einer aktuellen Joomla-Version 3.9.28 unter PHP 7.3. Joomla-Cache ist deaktiviert.

    *) seit wenigen Wochen

    Zuerst kamen Nutzerbeschwerden rein, dass das Joomla-Kontaktformular nicht mehr abgeschickt werden konnte - mit o. g. Fehlermeldung. Nach längerer erfolgloser Fehlersuche mit Browsercache leeren, Browser wechseln etc.) habe ich kurzerhand das Joomla-Standardkontaktfomular rausgeworfen und durch RSForm! Pro-Formular ersetzt. Das funktioniert bestens.


    Seit kurzem aber kommen jetzt auch Beschwerden rein, dass der o. g. Tokenfehler auch die Joomla-Registrierung verhindert. Das finde ich alarmierend.

    Gibt es zwischenzeitlich Erkenntnisse, woran es liegen kann? Für Hinweise wäre ich dankbar.

    Und falls auch jetzt keine Problemlösung gefunden werden kann - kann ich die Joomla-Registrierung durch eine andere Extension ersetzen?


    Hier die URL der Webseite: https://www.cgjung.org

    Hier können sich Veranstaltungsbucher registrieren bzw. anmelden: https://www.cgjung.org/veranst…nstaltungsuebersicht.html

    Falls es jemand testweise ausprobieren will - hier gibt es vorübergehend einen "Testvortrag - Nicht buchen!" der 0,00 EUR kostet: https://www.cgjung.org/veranst…ngen/326-testvortrag.html

    (Der Hinweis "Nicht buchen!" soll nur reguläre Nutzer*innen davon abhalten, ihn zu wählen.)

    Zitat von JoomlaWunder

    Im "Forum" auf deiner Seite kann ich mich mit den generierten Zugangsdaten anmelden.

    Unter "Meine Buchungen" existiert das von dir genannte Problem.


    EDIT: Kannst meinen Account wieder löschen!


    Ja, ich sehe, dass Deine Registration richtig lief.

    Das finde ich erstaunlich, denn ich selbst erhalte bei meinen Tests in beiden Fällen den "Sicherheitstoken-Fehler" - mit verschiedenen Browsern.

    Das verstehe ich nicht. Aber siehe unten ...

    Zitat von SniperSister

    Ich gehe davon aus dass eines der zahlreichen Drittplugins die Ursache ist, die insbesondere im Registrierungsprozess aktiv sind. Spontan sehe ich da ein Anti-Spam Plugin. Deaktiviere den ganzen Kram mal und probier es dann erneut.


    Vielen Dank für alles. Leider muss ich jetzt außer Haus und kann mich erst im Lauf des späten Abends bzw. des Nachts weiter darum kümmern.

    Zitat von SniperSister

    Ich gehe davon aus dass eines der zahlreichen Drittplugins die Ursache ist, die insbesondere im Registrierungsprozess aktiv sind. Spontan sehe ich da ein Anti-Spam Plugin. Deaktiviere den ganzen Kram mal und probier es dann erneut.

    Ich hatte nacheinander alle Extensions daktiviert, die irgendeinen schützenden bzw. blockierenden oder spamverhindernden Einfluss ausüben. Zusätzlich auch noch das Cookie-Consenttool und die DSGVO-Erweiterung, welche die Googlemaps solange blockiert, bis die Nutzer sagen: "Ich will aber trotzdem ..."

    Das hat alles nichts geändert. Erst als ich EasyCalcCheckPlus (ECC+) deaktivierte, funktionierte die Registrierung wieder reibungslos.


    Dann habe ich versucht nacheinander zwei andere Captchas einzubinden: Google reCaptcha und Aimy Captcha-Less Form Guard. Beide funktionierten nicht, d. h. es wurde immer eine falsche Captchalösung behauptet. Und das Google reCaptcha erschien erst gar nicht unter dem Registrierungsformular.

    Ich habe weiter herumprobiert und schließlich Captcha - SecureImage integriert. Das sieht zwar ziemlich primitiv aus, funktioniert dafür aber. Mal schau'n ob es auch wirklich Spambots abhalten kann!


    Was ich nicht verstehe: Bis vor einiger Zeit (Zeitraum kann ich nicht genau sagen) hat die Registrierung auch mit ECC+ funktioniert.

    Meine Hoffnung: Wenn Joomla 4 erscheint, muss ich die Seite sowieso komplett relaunchen. Und dann schmeiß' ich alles raus, was mein Vorgänger da verbaut hat und ich nicht richtig durchschaue.


    Bei der Datenbank-Reparatur war mir allerdings aufgefallen, das gerade die ...session-Tabelle einen auffallen hohen Überhang hatte. Nur hatte auch die Reparatur allein nicht geholfen.

    Zitat von JoomlaWunder

    Im "Forum" auf deiner Seite kann ich mich mit den generierten Zugangsdaten anmelden.

    Unter "Meine Buchungen" existiert das von dir genannte Problem.


    EDIT: Kannst meinen Account wieder löschen!

    Ich habe den Account wieder gelöscht.

    Aber was mir absolut nicht in den Kopf geht, ist, wie es Dir gelungen ist, was mir das System hartnäckig verweigerte, obwohl ich verschiedene Browser probiert hatte (Firefox, Chrom und Edge), und obwohl ich ihre Caches geleert hatte (inklusive der Cookies)...

    Zitat von Elwood

    Man kann ja mit ECC+ das Backend mit einem Token schützen.

    Vielleicht hing es damit zusammen.


    War denn ECC+ aktuel (3.3.0.0-free)?

    Der Backendschutz war nicht aktiviert. Ja, ECC+ ist aktuell.


    Aber im Gegensatz zu den von mir gebauten Joomla-Webseiten hat der Erbauer dieser Seite einiges integriert, was ich nicht durchschaue und was z. B. bei jedem Joomla-Update dieselben Fehler anmeckert. Und ich weiß nicht, was ich dagegen tun kann/muss. Dies ist bei keiner meiner eigenen Seiten je passiert. Siehe:


    Warnung

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „mod_privacy_dashboard“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_captcha_recaptcha_invisible“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_fields_repeatable“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_actionlogs“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_consents“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_contact“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „mod_latestactions“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_content“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_message“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_user“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_quickicon_privacycheck“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_system_logrotation“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_system_privacyconsent“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_user_terms“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „beez3“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „protostar“ ist noch nicht installiert.

    Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „hathor“ ist noch nicht installiert.

    Joomla!-Versionsaktualisierungsstatus

    Die Site wurde aktualisiert. Die neue Joomla!-Version ist jetzt: 3.9.28.


    Außerdem läuft die Seite mit dem Template "Landbox" von BDThemes (es gibt keine Updates mehr), mit dem ich keine Erfahrungen habe und das eine Menge mir unbekannter "Eigenwilligkeiten" mitbringt. Seine Basis ist "YooTheme's Warp theme framework", das mir genau so unbekannt ist.


    Ich traue dem ganzen Braten nicht so recht und habe den festen Willen, im Zusammenhang mit dem Upgrade auf Joomla 4 alles neu zu installieren, dabei alle Änderungen in Coredateien zu verwerfen und nur noch Extensions und ein Template zu nutzen, die/das ich schon lange kenne.


    In Abwandlung einer ähnlichen Volksweisheit halte ich mich in den letzten Jahren meines beruflichen Tuns an den Grundsatz: "Traue keiner CMS-Installation, die Du nicht selbst verbrochen bzw. verhunzt hast!" :)

    Zitat von Kallle

    Aber im Gegensatz zu den von mir gebauten Joomla-Webseiten hat der Erbauer dieser Seite einiges integriert, was ich nicht durchschaue und was z. B. bei jedem Joomla-Update dieselben Fehler anmeckert. Und ich weiß nicht, was ich dagegen tun kann/muss. Dies ist bei keiner meiner eigenen Seiten je passiert.

    Dann würde ich die Seite auch mit J4 neu aufsetzten. Würde da nicht mehr Arbeit reinstecken.

    J4 Stable soll ja am 17. August kommen. :)

    EDIT: 2021!

    Das ist ja schon nächste Woche! Freu!


    Da bin ich mal gespannt. Aber mit dem Relaunch von Produktivseiten warte ich noch ein bisschen die potenziellen Kinderkrankheiten ab. Zunächst teste ich es an geklonten Testseiten.

    Und diese Seite hier ist ja ganz wesentlich vom OSG-Seminarmanager abhängig. Das ist die zentrale Extension. Da warte ich auch noch die entsprechende Version 4.x ab.

    Du kannst (sollst) ja J3.9-Seiten erstmal auf J3.10 updaten und dann auf 4.0.


    Ich werde es erstmal mit meinen Seiten offline mit Xampp machen, dann online auf einer Subdomain testen,

    und dann es mit der Webseite machen.


    Aber jeder so, wie m/w/d es möchte!

    Lob, lob, lob! Du bist ja vorbildlich gendermäßig drauf! 😎


    Ahh - dann kommt J3.10 auch in Bälde ...


    Xampp ist mir ein bisschen zu umständlich. Vielleicht hab' ich's aber auch nur nicht richtig drauf.

    Für alle Kunden/Domains gibt es bei meinem Provider genug Subdomains. Die nutze ich temporär und deaktiviere sie wieder, wenn sie nicht mehr gebraucht werden. Da muss ich mich nicht um das Einrichten und Updaten von Xampp kümmern, sondern kann lustig munter drauflos installieren und die installierte Servertechnik nutzen.