Am 27. März 2025 wurde auf der Website der Stadt Erlangen-Höchstadt über wichtige Datenschutzmaßnahmen berichtet. Die Mitteilung befasst sich mit den notwendigen Cookies, die für die Funktion der Website unerlässlich sind. Diese Cookies werden in der Regel als Reaktion auf Benutzeraktionen gesetzt, etwa beim Festlegen von Datenschutzeinstellungen, Anmelden oder Ausfüllen von Formularen. Benutzer haben die Möglichkeit, ihren Browser so einzustellen, dass diese Cookies blockiert oder sie darüber benachrichtigt werden. Nimmt man diese Anpassungen vor, könnte allerdings die Funktionalität bestimmter Bereiche der Website beeinträchtigt werden. Es wird klargestellt, dass diese Cookies keine personenbezogenen Daten speichern.
Zu den spezifischen Cookie-Details, die die Website nutzt, gehören:
-
Name: ASP.NET_SessionId
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Sitzungscookie für Plattformen, die mit Microsoft .NET-Technologien erstellt wurden; dient zur Aufrechterhaltung einer anonymisierten Benutzersitzung durch den Server. -
Name: __RequestVerificationToken
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Wird gesetzt, sobald ein Anmeldeformular angezeigt wird; es werden noch keine Inhalte geschrieben. -
Name: ld-cookieselection
Dauer: 30 Tage
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Speichert die Einstellung der Cookie-Auswahl.
Entdeckte Sicherheitsanfälligkeit bei HTTP-Anfragen
Parallel dazu hat eine Recherche auf Stack Overflow ergeben, dass eine neue Sicherheitsanfälligkeit entdeckt wurde, die auftritt, wenn Benutzer HTTP anfordern und auf HTTPS umgeleitet werden. In diesem Fall wird das sessionid-Cookie als sicher gesetzt, vorausgesetzt die erste Anfrage erfolgt über HTTP. McAfee Secure hat diese Situation als Sicherheitsanfälligkeit eingestuft.
Der bereitgestellte Code sorgt dafür, dass Cookies nur gesichert werden, wenn die Anfrage über HTTPS erfolgt. Bei einer nicht sicheren Verbindung wird der Wert des sessionid-Cookies geleert, und das Cookie wird auf den 1. Januar 2018 gesetzt, um es ablaufen zu lassen. Damit soll die Sicherheit der Benutzerinformationen gewährleistet werden. Außerdem wird sowohl das Forms-Authentifizierungs-Cookie als auch das session-Cookie als sicher markiert, wenn eine sichere Verbindung vorliegt.
Für weitere Informationen über die Datenschutzmaßnahmen und Sicherheitsvorkehrungen auf der Website der Stadt Erlangen-Höchstadt, verfolgen Sie [Erlangen-Höchstadt](https://www.erlangen-hoechstadt.de/aktuelles/meldungen/ein-dienstjubilaeum-und-eine-verabschiedung-in-den-ruhestand/). Interessierte können auch die Diskussion über die Sicherheitsanfälligkeit auf [Stack Overflow](https://stackoverflow.com/questions/5978667/how-to-secure-the-asp-net-sessionid-cookie) nachlesen.
