Am 3. Februar 2025 informierte die Webseite [Landkreis Cham](https://www.landkreis-cham.de/aktuelles-nachrichten/alle-meldungen/zusammenarbeit-im-sinne-der-menschen/), dass notwendige Cookies für die Funktionalität ihrer Website erforderlich sind und nicht deaktiviert werden können. Diese Cookies werden in der Regel als Reaktion auf Benutzeraktionen gesetzt, wie etwa das Festlegen von Datenschutzeinstellungen, Anmelden oder das Ausfüllen von Formularen. Benutzer haben die Möglichkeit, ihren Browser so einzustellen, dass diese Cookies blockiert oder Benachrichtigungen über sie erhalten werden. Dies könnte jedoch die Funktionalität bestimmter Bereiche der Website beeinträchtigen. Wichtig zu erwähnen ist, dass diese Cookies keine personenbezogenen Daten speichern.
Zu den spezifischen Cookie-Details gehören:
- Name: ASP.NET_SessionId
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Sitzungscookie für Plattformen, die mit Microsoft .NET-Technologien entwickelt wurden; dient zur Aufrechterhaltung einer anonymisierten Benutzersitzung durch den Server. - Name: __RequestVerificationToken
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Wird gesetzt, sobald ein Anmeldeformular auf der Seite angezeigt wird; es werden noch keine Inhalte geschrieben. - Name: ld-cookieselection
Dauer: 30 Tage
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Speichert die Einstellung der Cookie-Auswahl.
Sicherheitsanfälligkeit bei Session-Cookies
In einem weiteren Bericht von [Stack Overflow](https://stackoverflow.com/questions/5978667/how-to-secure-the-asp-net-sessionid-cookie) wurde eine Sicherheitsanfälligkeit aufgezeigt, die auftritt, wenn Benutzer über HTTP auf eine HTTPS-Verbindung umgeleitet werden. Hierbei wird das sessionid-Cookie als sicher (secure) gesetzt, zunächst aber bei der ersten HTTP-Anfrage. McAfee Secure hebt hervor, dass dies eine signifikante Sicherheitsanfälligkeit darstellt.
Der bereitgestellte Code im Bericht sichert Cookies lediglich, wenn die Anfrage über eine HTTPS-Verbindung läuft. Ist die Verbindung nicht sicher, wird das sessionid-Cookie abgelaufen gesetzt. Ebene für Ebene wird bei einer sicheren Verbindung überprüft, ob Cookies vorhanden sind, wobei insbesondere das Forms-Authentifizierungs-Cookie und das ASP.NET_SessionId-Cookie als sicher markiert werden. Fehlt diese Sicherheitsverbindung, wird der Wert des asp.net_sessionid-Cookies geleert und das Cookie auf den 1. Januar 2018 abgelaufen gesetzt.
