Joomla-Nutzern ist der Fehler "Sicherheitstoken ungültig" bekannt. Er tritt meist beim Login in eine Webseite auf. In diesem Beitrag wollen wir den Fehler etwas genauer betrachten und erklären, wieso er auftritt und vor allem wie er sich beheben lässt.
Im Gegensatz zu anderen Lösungen schließt dieser Weg einen "core hack" aus und gefährdet somit nicht die Sicherheit Ihrer Seite.
- Was bedeutet die Fehlermeldung „ Sicherheitstoken ungültig“? Und warum erscheint sie?
- Wie lässt sich der Fehler hervorzurufen?
- Wie kann der Fehler behoben werden?
Was bedeutet die Fehlermeldung "Sicherheitstoken ungültig"? Und warum erscheint sie?
Joomla verwendet "Security-token", auch Authentifizierungstoken genannt, um dem Besitzer einen sicheren und kontrollierten Zugang zu seiner Website zu ermöglichen. Dadurch wird die Website u.a. gegen Cross Site Request Forgery (CSRF) Angriffe geschützt, denn die Tokens bestehen aus einer einmaligen und zufälligen Nummer. Sie werden zwischen Client und Server als Teil der URL übertragen und können so nicht von einem potenzieller Angreifer vorausgesagt werden.
Wenn die Seite, auf welche zugegriffen wird, keinen aktuellen "token" hat, erscheint diese Fehlermeldung:
"Die Anfrage wurde zurückgewiesen, da der Sicherheitstoken ungültig ist. Bitte die Seite aktualisieren und es dann erneut versuchen"
Leider passiert es öfter, dass dieser Fehler fälschlicherweise auch bei zugriffsberechtigten Usern auftritt.
Hier einige Beispielfälle, bei denen diese Fehlermeldung auftreten könnte:
- Ein Nutzer greift auf die Verwaltungsseite zu und loggt sich dort ein. Nach dem Login erscheint die Nachricht "Sicherheitstoken ungültig"
- Ein User hat einen Tab offen, der beispielsweise noch vom Tag oder der Nacht vorher geöffnet ist. Beim Versuch sich einzuloggen erscheint die Meldung "Sicherheitstoken ungültig"
- Der User klickt auf einen Weiterleitungslink in einer E-Mail. Nach Ausfüllen des Formulars auf der Seite erscheint "Sicherheitstoken ungültig"
Wie lässt sich der Fehler hervorzurufen?
So lässt sich der Fehler in ein paar einfachen Schritten hervorrufen.
- Man öffnet eine Login-Seite
- In einem neuen Tab öffnet man die gleiche Login-Seite und loggt sich ein
- Wenn man nun versucht sich im zuerst geöffneten Tab der Seite einzuloggen, erscheint die Fehlermeldung
Wie kann der Fehler behoben werden?
Fehlerbehebung Nr.1 - Umleiten der Subdomain
Standardmäßig bieten die meisten Webseitenbetreiber die Möglichkeit, dass man mit einer www oder einer nicht-www Adresse auf die eigene Seite zugreifen kann. Man sollte sich vergewissern, dass eine Umleitung von der einen auf die andere Domain eingerichtet ist. Dieser Trick beugt den häufigsten „Sicherheitstoken“ -Fehlermeldungen vor.
Fehlerbehebung Nr.2 - Verlängern der Sitzungszeiten
Die Sitzungszeit bestimmt, wie lange ein User eingeloggt bleibt, wenn er inaktiv ist. Es ist ein Sicherheitsfeature, das vor allem für die Nutzung öffentlicher Computer eingerichtet wurde.
Beispiel: Der Administrator setzt die Sitzungslaufzeit auf 15 Minuten. Wenn ein User nun 15 Minuten auf der Seite eingeloggt bleibt, ohne aktiv zu sein, wird er von Joomla automatisch ausgeloggt. Wenn also ein User ein Formular ausfüllt und dabei unterbrochen wird und erst nach 20 Minuten zurückkehrt, erscheint auf seinem Bildschirm die Fehlermeldung "Sicherheitstoken ungültig". Der Grund dafür ist, dass das "Token" zu diesem Zeitpunkt abgelaufen ist. Die Sitzung wird deshalb automatisch von Joomla geschlossen.
Die Sitzungszeit zu verlängern sollte nur unter bestimmten Voraussetzungen in Erwägung gezogen werden
- Wenn die Seite keine streng vertraulichen Informationen enthält
- Wenn die User der Seite in der Regel nicht von öffentlichen Computern auf die Website zugreifen (Internetcafé oder Bibliothekscomputer)
Fehlerbehebung Nr.3 - Ersatz Fehlermeldung
Die "Sicherheitstoken ungültig" Meldung ist verwirrend und kann frustrierend sein. Viele Nutzer wissen nicht, was sie bedeutet.
Mit dem „Invalid Token interceptor“ Plug-in lässt sich die Fehlermeldung abfangen. Es muss nach Download und Installation wie folgt vorgegangen werden:
- Erweiterungen auswählen
- Plugin Manager
- In der Suche "System - Invalid Token Interceptor" eingeben
- Status aktivieren und Nachricht eingeben
- Speichern und Schließen
Nun kann der Fehler noch einmal reproduziert werden, um zu überprüfen, ob nun ein 404 Fehler und die eigene Nachricht erscheint.
Fehlerbehebung Nr.4 - Den Entwickler kontaktieren
Wenn die "Sicherheitstoken ungültig" Fehlermeldung auftritt, sollte der Entwickler kontaktiert werden. Dieser sollte überprüfen, ob seine Formulare diesen Fehler begünstigen.
Sie haben Fragen? Nehmen Sie Kontakt mit uns auf!