Am 18. März 2025 wurde auf der Website der Stadt Erlangen-Höchstadt ein Artikel veröffentlicht, der wichtige Informationen zu den auf der Plattform verwendeten Cookies beinhaltete. Notwendige Cookies sind essenziell für die Funktion der Website und können nicht deaktiviert werden. Diese Cookies werden in der Regel in Reaktion auf Benutzeraktionen gesetzt, wie beispielsweise das Festlegen von Datenschutzeinstellungen, Anmelden oder Ausfüllen von Formularen. Benutzer haben die Möglichkeit, ihren Browser so einzustellen, dass diese Cookies blockiert werden oder Benachrichtigungen erhalten, jedoch kann dies die Funktionalität bestimmter Website-Bereiche beeinträchtigen. Zudem speichern diese Cookies keine personenbezogenen Daten.
Die Webseite listete spezifische Cookie-Details auf:
- Name: ASP.NET_SessionId
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Sitzungscookie für Plattformen, die mit Microsoft .NET-Technologien erstellt wurden; dient zur Aufrechterhaltung einer anonymisierten Benutzersitzung durch den Server. - Name: __RequestVerificationToken
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Wird gesetzt, sobald ein Anmeldeformular angezeigt wird; es werden noch keine Inhalte geschrieben. - Name: ld-cookieselection
Dauer: 30 Tage
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Speichert die Einstellung der Cookie-Auswahl.
Sicherheitsanfälligkeiten bei Cookies
Zusätzlich wurden Informationen zu einer neuen Sicherheitsanfälligkeit veröffentlicht, die im Zusammenhang mit der ASP.NET-Sitzung steht. Laut einem Bericht von McAfee Secure wurde festgestellt, dass das sessionid-Cookie als sicher (secure) gesetzt wird, wenn die erste Anfrage über HTTP erfolgt und danach auf HTTPS umgeleitet wird. Diese Situation stellt eine Sicherheitsanfälligkeit dar. Der bereitgestellte Code sichert Cookies nur, wenn die Anfrage über HTTPS erfolgt und setzt das sessionid-Cookie auf abgelaufen, wenn die Anfrage nicht über HTTPS geschieht.
Der Code markiert sowohl das Forms-Authentifizierungs-Cookie als auch das session-Cookie als sicher. Bei einer sicheren Verbindung (Request.IsSecureConnection) wird geprüft, ob Cookies vorhanden sind. Jedes Cookie wird untersucht, um festzustellen, ob es sich um das Forms-Authentifizierungs-Cookie oder das sessionid-Cookie handelt, und entsprechend als sicher markiert. Ist die Verbindung unsicher, wird der Wert des sessionid-Cookies gelöscht und das Cookie auf ein Ablaufdatum gesetzt, das auf den 1. Januar 2018 fällt.
Für weitere Informationen zu den Cookie-Einstellungen der Webseite besuchen Sie bitte Erlangen-Höchstadt sowie für technische Details zur Sicherheitsanfälligkeit der ASP.NET-Sitzung auf Stack Overflow.
