Am 14. April 2025 berichtete der Landkreis Cham über die Wichtigkeit von Cookies für die Funktionalität von Websites. Nötige Cookies können nicht deaktiviert werden, da sie als Reaktion auf Benutzeraktionen gesetzt werden, wie etwa beim Festlegen von Datenschutzeinstellungen oder beim Ausfüllen von Formularen. Benutzer haben die Möglichkeit, ihren Browser so zu konfigurieren, dass diese Cookies blockiert oder die Nutzer darüber informiert werden, was jedoch die Funktionalität bestimmter Bereiche der Website beeinträchtigen kann. Es wird betont, dass diese Cookies keine personenbezogenen Daten speichern.
Zu den spezifischen Cookies, die auf der Website verwendet werden, gehört das ASP.NET_SessionId-Cookie, welches bis zum Ende der Browsersession gültig ist. Dieses 1st Party-Cookie ist notwendig und wird verwendet, um eine anonymisierte Benutzersitzung durch den Server aufrechtzuerhalten. Weitere Cookies sind der __RequestVerificationToken, der ebenfalls bis zum Ende der Browsersession aktiv bleibt, und das ld-cookieselection-Cookie, welches für 30 Tage gespeichert wird und die Einstellungen zur Cookie-Auswahl speichert, wie [landkreis-cham.de](https://www.landkreis-cham.de/aktuelles-nachrichten/alle-meldungen/ki-und-menschlichkeit-workshop-des-kreisjugendrings-zum-thema-ki/) berichtete.
Neue Sicherheitsanfälligkeit entdeckt
Zusätzlich zeigt eine Recherche auf Stack Overflow, dass eine neue Sicherheitsanfälligkeit im Zusammenhang mit Cookies festgestellt wurde. Diese Anfälligkeit tritt auf, wenn Benutzer eine HTTP-Anfrage stellen und dann auf eine HTTPS-Verbindung umgeleitet werden. In solchen Fällen wird das sessionid-Cookie als sicher markiert, wenn die erste Anfrage über HTTP erfolgt. McAfee Secure hat diese Situation als Sicherheitsanfälligkeit eingestuft.
Der bereitgestellte Code sichert Cookies dokumentieren nur, wenn die Anfrage über HTTPS erfolgt. Bei unsicheren Verbindungen wird das sessionid-Cookie abgelaufen gesetzt, und der Wert des Cookies wird geleert. Zudem wird das Forms-Authentifizierungs-Cookie und das session-Cookie als sicher markiert, sofern eine sichere Verbindung besteht, und die entsprechenden Cookies sind vorhanden. Bei einer unsicheren Verbindung wird das sessionid-Cookie auf den 1. Januar 2018 gesetzt, um es ablaufen zu lassen, wie [stackoverflow.com](https://stackoverflow.com/questions/5978667/how-to-secure-the-asp-net-sessionid-cookie) berichtete.
