Am 13. März 2025 wurden auf der Website des Landkreises Kronach wichtige Informationen zu Cookies veröffentlicht. Diese betreffen vor allem die Notwendigkeit, bestimmte Cookies für die Funktionalität der Website zu nutzen. Notwendige Cookies können nicht deaktiviert werden und werden in der Regel als Reaktion auf Benutzeraktionen, wie das Anmelden oder die Einstellung von Datenschutzeinstellungen, gesetzt. Es wird darauf hingewiesen, dass Benutzer ihre Browser so einstellen können, dass Cookies blockiert werden, was jedoch die Funktionalität bestimmter Bereiche der Website beeinträchtigen kann. Zudem speichern diese Cookies keine personenbezogenen Daten.
Die auf der Website aufgeführten Cookie-Details umfassen unter anderem das Sitzungscookie ASP.NET_SessionId, welches bis zum Ende der Browsersession gültig ist und zur Aufrechterhaltung einer anonymisierten Benutzersitzung dient. Weitere Cookies sind der __RequestVerificationToken, der ebenfalls bis zum Ende der Browsersession gültig ist und beim Anzeigen eines Anmeldeformulars gesetzt wird, sowie das Cookie ld-cookieselection, das die Einstellung der Cookie-Auswahl für 30 Tage speichert, wie landkreis-kronach.de berichtete.
Sicherheitsanfälligkeit bei Cookies
Zusätzlich wurde eine neue Sicherheitsanfälligkeit im Zusammenhang mit dem sessionid-Cookie festgestellt. Laut Informationen von stackoverflow.com entsteht diese Schwachstelle, wenn Benutzer eine HTTP-Anfrage stellen und anschließend auf HTTPS umgeleitet werden. In diesem Fall wird das sessionid-Cookie als sicher markiert, wenn die erste Anfrage über HTTP erfolgt. McAfee Secure hat diese Situation als Sicherheitsanfälligkeit eingestuft und empfohlen, dass Cookies nur gesichert werden, wenn die Anfrage über HTTPS erfolgt. Andernfalls wird das sessionid-Cookie auf den 1. Januar 2018 gesetzt, um Sicherheitsrisiken zu minimieren.
Der bereitgestellte Code zur Sicherung des Cookies markiert sowohl das Forms-Authentifizierungs-Cookie als auch das session-Cookie als sicher. Bei einer nicht sicheren Verbindung wird überprüft, ob Cookies vorhanden sind, und die entsprechenden Cookies werden entsprechend behandelt, um die Sicherheit der Benutzersitzung zu gewährleisten.
