[3.5.2] Kein System-Log Eintrag bei Fehler "Ungültiger Anfrage-Token"

[Mynyx]

Wenn der Fehler "Ungültiger Anfrage-Token" auftritt, wird kein System-Log Eintrag angelegt.

[leofeyer]

Das ist so gewollt soweit ich mich erinnere, damit niemand die Datenbank zum Überlauf bringen kann.

[Mynyx]

Das könnte man z. B. auch mit Login-Versuchen oder ungültigen Seitenaufrufen (404 Fehler werden auch geloggt)...

[Zeromax]

Evtl. Optional zuschalltbar? Default wäre schlecht, denn @leofeyer hat absolut recht.

[Mynyx]

Dann sollte man das auch für die anderen genannten Beispiele optional machen, denn da gibt es doch nunmal keinen Unterschied?

[leofeyer]

Das könnte man z. B. auch mit Login-Versuchen oder ungültigen Seitenaufrufen (404 Fehler werden auch geloggt)...

Da hast Du Recht. @contao/developers /cc

[Toflar]

Das ist auch nicht schlimm. Das betrifft ja nicht nur die Datenbank (welche problemlos mit Millionen von Einträgen umgehen kann). Auch die normalen File-Logs oder die Access-Logs des Webservers bzw. anderer Server-Komponenten können so geflutet werden. Solche Attacken zu verhindern bzw. nach einer gewissen Anzahl verdächtiger Requests zu blocken ist m.M.n. Aufgabe der Server-Infrastruktur, nicht des eingesetzten CMS.

[leofeyer]

@contao/developers Also sollten wir "invalid request token"-Fehler loggen?

[aschempp]

Ich sehe keinen Sinn darin… was sollte solch ein Log-Eintrag bringen? Ich hab bei einem Contao 4 Projekt ein Log 2 Email konfiguriert und erhalte momentan bei jedem Request-Token-Fehler eine Mail. Ziemlich sinnlos…

[Toflar]

Nö, ich find auch der ist sinnlos.

[bytehead]

Naja, ich wäre auch schon froh gewesen, hätte ich dazu einen Log-Eintrag gefunden. Das könnte einem unter Umständen eine ausgiebigere Fehlersuche ersparen.

[leofeyer]

Es gibt so einige fragliche Log-Einträge wie z.B. "Could not find the session record", bei denen wir mal überlegen sollten, ob sie wirklich Sinn machen. Auch die ganzen "No active page for page ID …" machen nur begrenzt Sinn finde ich.

[aschempp]

Absolut. In Contao 4 scheinen die Dinge (zumindest Token) auch in die Log-Datei geschrieben. Da macht es schon eher Sinn als im Backend. Weis aber nicht ob das in Contao 3 auch schon war.

[leofeyer]

Wie am 14. Oktober auf Mumble besprochen, ist es Aufgabe des Servers, fehlerhafte Anfragen zu loggen und darauf zu reagieren. Wir wollen deshalb die "Ungültiger Anfrage-Token"-Meldungen nicht loggen.

Ich werde die ganzen Log-Aufrufe einmal durchgehen und dann einen PR mit weiteren Log-Einträgen, die man eventuell weglassen könnte, erstellen.

[aschempp]

Relevant zu diesem Thema: http://rosstuck.com/formatting-exception-messages/

[leofeyer]

Es gibt so einige fragliche Log-Einträge wie z.B. "Could not find the session record", bei denen wir mal überlegen sollten, ob sie wirklich Sinn machen. Auch die ganzen "No active page for page ID …" machen nur begrenzt Sinn finde ich.

Geändert in contao/core-bundle@dac6259954024799dce8783721c270e9e36ed817.

[Mynyx]

Ist "Contao\FileUpload::uploadTo: File type "bmp" is not allowed to be uploaded (xxx.bmp)" denn ein sinnvoller Log-Eintrag, denn Fehleingaben an anderer Stelle werden schließlich auch nicht geloggt?

[leofeyer]

Da hast Du Recht. Geändert in 1b82f2fdce86326e252e5670071616a0d3318082.

[Mynyx]

Die letzten beiden mit der Kategorie TL_FILES sollten allerdings nicht entfernt werden, die sind ein Sonderfall des normalen Logeintrages, siehe https://github.com/contao/core/blob/1b82f2fdce86326e252e5670071616a0d3318082/system/modules/core/classes/FileUpload.php#L176

[Mynyx]

Außerdem befinden sich noch gleichartige Log-Einträge in system\modules\core\forms\FormFileUpload.php

[leofeyer]

Geändert in 2822a61003bbf7318243552b1ebf8e330dc5ef52.