Am 20. Januar 2025 wurde bekannt, dass für die Verwendung von Cookies auf Websites, insbesondere auf Microsoft .NET-basierten Plattformen, erforderliche Cookies nicht deaktiviert werden können. Diese Cookies sind entscheidend für die Funktionalität der Website und werden in der Regel durch Benutzeraktionen gesetzt, etwa beim Festlegen von Datenschutzeinstellungen, Anmelden oder Ausfüllen von Formularen.
Wie traunstein.de berichtet, speichern notwendige Cookies keine personenbezogenen Daten und sind in verschiedenen Typen vorhanden. Dazu zählen unter anderem:
- ASP.NET_SessionId – Ein Sitzungscookie, das bis zum Beenden der Browsersession gilt und zur Aufrechterhaltung einer anonymisierten Benutzersitzung dient.
- __RequestVerificationToken – Setzt sich beim Aufruf eines Anmeldeformulars und gilt ebenfalls bis zum Ende der Browsersession.
- ld-cookieselection – Speichert Cookie-Auswahl-Einstellungen für 14 Tage.
- et_allow_cookies (eTracker) – Indiziert, ob eTracker-Cookies gesetzt werden dürfen, ebenfalls für 14 Tage.
- et_oi_v2 (eTracker) – Erforderlich für die Widerspruchs-Funktion (Opt-Out), gültig für 365 Tage.
- et_scroll_depth (eTracker) – Dient der Cache für die Scrolltiefe-Messung, als Session-Cookie.
Sicherheitsanfälligkeit bei Cookies
Zusätzlich wurde eine neue Sicherheitsanfälligkeit entdeckt, die durch einen Wechsel von HTTP zu HTTPS auftreten kann. Laut Informationen von stackoverflow.com wird das sessionid-Cookie bei der ersten HTTP-Anfrage als sicher markiert, was zu dieser Sicherheitsanfälligkeit führt.
Die Sicherheitsfirma McAfee Secure hat diese Situation als Sicherheitsanfälligkeit eingestuft. Der bereitgestellte Code sorgt dafür, dass Cookies nur bei einer sicheren (HTTPS) Verbindung gesichert sind. Kommt es zu einer unsicheren Verbindung (nicht HTTPS), wird das sessionid-Cookie abgelaufen gesetzt. Das System führt darüber hinaus eine Überprüfung durch, um Cookies entsprechend als sicher zu kennzeichnen, wenn die Verbindung sicher ist. Bei nicht sicheren Verbindungen wird der Wert des sessionid-Cookies geleert und das Cookie auf ein Ablaufdatum gesetzt.
