Das sind großartige Informationen. Ich habe speziell kein CORS-Problem gesehen, aber ich werde mich weiter damit beschäftigen. Falls ich etwas finde, werde ich es hier posten.
Nachdem ich die Skripte gesehen habe, scheint es sich um Cloudflare zu handeln. Nutzen Sie Cloudflare? https://boards.neocron.org/cdn-cgi/apps/head/QNWX_8GN-3K7wUr6Qa73LdoD3JI.js. Wir nutzen das nicht, daher haben wir dieses spezifische Problem wahrscheinlich nicht gesehen.
Danke!
Bei der Untersuchung stellten wir fest, dass Einstellungen -> Sicherheit -> Content Security Policy aktiviert war.
Sobald wir dies deaktivierten, konnten sich Benutzer registrieren. Wir versuchten, die in dem oben genannten Bericht gefundenen URLs zu den freigegebenen Skriptquellen hinzuzufügen, aber dies löste das Problem nicht.
Offenbar hat Chrome seine CSP verschärft. → Manifest - Content Security Policy | Chrome Extensions | Chrome for Developers
Ähm, ich befürchte, dass dies bei uns deaktiviert ist. Es sollte eine andere Sache sein, die dieses Problem verursacht.
Wir haben auch die CORS-Flagge aktiviert, sind uns aber nicht sicher, ob dies damit zusammenhängt.
Das ist ein CSP-Problem, kein CORS.
Handelt es sich um eine Einrichtung mit Unterordnern?
EDIT: Nachdem ich das erneut betrachtet habe, ist mir klar, was hier los ist.
Ich kann bestätigen, dass dies von CF eingefügt wurde.
Wir empfehlen dringend, CSP auf einer Produktionsseite nicht zu deaktivieren. Schalten Sie stattdessen, wenn möglich, Cloudflare aus (wir hatten MANY, MANY Supportfälle, bei denen CF sich negativ auf Discourses JS ausgewirkt hat) oder deaktivieren Sie zumindest alle Cloudflare-Optimierungen.
Dies öffnet massive Sicherheitslücken auf Ihrer Website. Wir EMPFEHLEN DRINGEND, dies NICHT zu tun. Das ist sehr schlechter Rat.
Hey @supermathie,
Wir nutzen Cloudflare nicht und haben dieses Problem gerade bei zwei Nutzern festgestellt. Als Workaround raten wir ihnen, Inkognito-Modus oder einen anderen Browser zu verwenden, aber möglicherweise gibt es weitere Nutzer, die uns dieses Problem nicht melden.
Unsere Community besteht hauptsächlich aus nicht-technischen Personen, daher glaube ich nicht, dass sie seltsame Browser-Konfigurationen haben.
Kannst du mehr Informationen dazu geben, was dieses Problem auslöst? Vielleicht kann ich daraus eine Lösung ableiten.
Vielen Dank!
Ich wünschte, wir wüssten es genau.
Auf dem Bildschirm „Konto erstellen
Ja, ich meine, es ist nicht mehr das Jahr 2000, die Browser-Sicherheit und Malware-Prävention sind heute besser (glaube ich). Ein anderer Benutzer hat das heute gemeldet, ich werde versuchen, mehr Informationen von ihm zu bekommen und hoffentlich etwas finden.
Danke!
Fantastisch. Wir wollen das unbedingt zum Abschluss bringen, also lass es uns wissen.
Ich habe einen Freund, der ebenfalls dieses Problem hat – ich versuche, ihn als Moderator hinzuzufügen. Wenn ich mich in einem Inkognito-Fenster anmeldet, funktioniert es einwandfrei, aber bei ihm nicht einmal im Inkognito-Fenster. Daher bin ich mir ziemlich sicher, dass es kein Problem mit meiner Installation ist (ich verwende zwar Plugins mit meinem Discourse, aber nur offizielle), sondern etwas mit seinem Browser.
Ich arbeite mit ihm zusammen, um das Problem einzugrenzen. Falls es kein Plugin-Problem ist, frage ich mich, ob es vielleicht etwas mit unseren Chrome-Versionen zu tun hat – ob da etwas unter der Haube des Browsers passiert, von dem ich nichts weiß. Das kann ich aber noch nicht mit Sicherheit sagen. Derzeit versuche ich, seine Versionsnummer zu bekommen, um sie zu vergleichen. Er ist Kalifornier, und wenn er vernünftig ist, schläft er gerade 
OK, nicht unbedingt logisch, aber er ist wach und liefert Informationen. Er hat von 75.0.3770.142 auf 76.0.3808.87 (64-Bit) aktualisiert, was allein im Hauptfenster nicht half. Nachdem er jedoch Cache und Cookies gelöscht hatte, konnte er sich in einem Inkognito-Fenster anmelden. Er verwendet eine völlig saubere Chrome-Installation, abgesehen von einem Adblocker.
EDIT: Ich kann dir nicht sagen, ob das Löschen von Cache oder Cookies bei Version 75.0.3770.142 funktionieren würde, ohne es reproduzieren zu können (was ich nicht kann), aber es finde ich zumindest interessant, dass es meinem Freund scheinbar geholfen hat.
Hallo, ich habe heute eine frische Instanz unter community.boid.com eingerichtet und beim Versuch, ein zweites Konto zu registrieren (sowohl im normalen Chrome-Fenster als auch im Inkognito-Modus), diese Fehlermeldung erhalten. Ich konnte das Problem lösen, indem ich die automatisch gespeicherten Passwörter in meinem Google-Konto manuell gelöscht und keine Auto-Ausfüll-Optionen im Anmeldeformular verwendet habe. Mir ist aufgefallen, dass Chrome viele verschiedene Authentifizierungsoptionen für die Auto-Ausfüllung von anderen, nicht zusammenhängenden Websites vorgeschlagen hat. Dieses Verhalten habe ich auf anderen Seiten noch nicht beobachtet, daher wollte ich meine Erfahrung nur kurz erwähnen.
Soweit ich das beurteilen kann, scheint dies tatsächlich mit der Chrome-Auto-Ausfüllfunktion von Google zusammenzuhängen.
Ich habe eine Möglichkeit, dies nachzustellen, aber sie ist ziemlich verschroben. Sie benötigen zwei Browserfenster.
Laden Sie Ihre Website im Inkognito-Modus und öffnen Sie das Dialogfeld „Neuen Benutzer erstellen".
Melden Sie sich in einem zweiten Browserfenster als Administrator an. Gehen Sie zu den Seiteneinstellungen und aktivieren Sie „Nur auf Einladung", wodurch die öffentliche Registrierung deaktiviert wird.
Versuchen Sie im Inkognito-Browser, die Registrierung als neuer Benutzer über das zuvor geöffnete Dialogfeld „Neuen Benutzer erstellen" abzuschließen.
Das wird nicht funktionieren, da die Erstellung neuer Benutzer nicht mehr erlaubt ist. Daher werden Sie .. unseren alten Bekannten .. sehen:
Zumindest haben wir diese Nachstellungsmethode, auch wenn sie .. völlig verrückt ist. 
Ich habe das noch nie auf andere Weise nachstellen können, und auch niemand in diesem Thema hat je eine Reihe von Schritten zur Nachstellung auf einer Standard-Instanz von Chrome ohne Erweiterungen liefern können. Wenn Sie das können, treten Sie bitte vor und stellen Sie diese Nachstellungsschritte zur Verfügung..
Ich habe diesen Fehler auf try.discourse.org reproduziert:
OK, sehr gut, das ist ein reproduzierbarer Fehler, mit dem wir arbeiten können, danke dafür.
Allerdings ist zu beachten, dass immer noch eine manuelle Benutzeraktion erforderlich ist – Rechtsklick im Passwortfeld bei der Erstellung eines neuen Kontos / der Registrierung und dann „Vorschlagen
Wir haben zwei Mechanismen, um zu verhindern, dass Bots blindlings Konten registrieren.
Wir tun so, als gäbe es ein Feld „Passwort bestätigen“, das in Wirklichkeit eine „Falle“ ist: Wir erwarten einen sehr spezifischen Wert. Es handelt sich um ein INPUT-Feld, das nicht auf dem Bildschirm gerendert wird, sondern in einem versteckten Div liegt.
Wir verwenden eine Challenge-String, den das JavaScript verarbeiten und zurückgeben soll.
Wenn entweder (1) oder (2) nicht korrekt abläuft, betrachten wir die Anfrage als verdächtig und registrieren kein Konto.
Was der Chrome-Passwortmanager tut, ist, das Passwort im Feld „new-account-confirm“ automatisch auszufüllen:
{{input type="password" value=accountPasswordConfirm id="new-account-confirmation" autocomplete="new-password"}}
Dieses INPUT-Feld ist versteckt und wird nicht auf dem Bildschirm angezeigt.
Wir haben hier zwei Alternativen:
Wir entfernen diesen Schutz und akzeptieren einfach, dass Passwortmanager hier Fehler machen. Sie prüfen nämlich nicht, ob ein „Passwort bestätigen“-Feld tatsächlich sichtbar ist, bevor sie es ausfüllen.
Wir bitten das Chrome-Team, damit aufzuhören, Informationen in nicht sichtbare INPUT-Felder einzutragen – das ist nicht in Ordnung. (Ich habe das bereits getan)
Ich weiß nicht … Ich denke, wir können uns für (1) entscheiden; das ist eine einfache Änderung. Ich könnte den Schutz entfernen und den JS-Client dazu bringen, einen Hash im Bitcoin-Stil zu berechnen, um nachzuweisen, dass er aktiv ist und Arbeit verrichtet. Zum Beispiel könnte ich dem Client eine Zeichenkette geben und ihm sagen, Zahlen daran anzuhängen, bis der MD5 mindestens mit 00 endet. Das würde zumindest Bots bestrafen und wäre auf dem Server extrem günstig zu überprüfen.
Bots dazu zu bringen, blindlings MD5s zu berechnen, ist meiner Meinung nach eine Möglichkeit, sie buchstäblich die Rechnungen bezahlen zu lassen und meinen Ruhestand auf den Bahamas zu finanzieren.
Ist es möglich, einen solchen Mechanismus vollständig zu deaktivieren und den bewährten Google CAPTCHA wieder einzuführen? Ich denke, dies würde die Sicherheit gewährleisten und gleichzeitig mehr Benutzern die Registrierung ermöglichen.
Oder wir können auf deinen Hotfix warten. Welche Option scheint dir am besten? Wir starten Anfang nächster Woche eine große Partneraktion auf unserem Forum.
Ich habe gerade ein neues Konto erstellt, mit NULL Anti-Spam-, Spyware- oder Software auf dem Browser, und ich bin auf das gleiche Problem gestoßen. Ich habe es gelöst, indem ich die Methode „Mit Google anmelden
