Am 7. April 2025 gibt es relevante Entwicklungen im Bereich der Cookies und ihrer Sicherheitsanfälligkeiten. Auf der Webseite der Gemeinde Erlangen-Höchstadt wird erklärt, dass bestimmte Cookies für die Funktionalität der Website unerlässlich sind. Dazu gehören das ASP.NET_SessionId Cookie, das als Sitzungscookie gilt und bis zum Ende einer Browsersession besteht. Dieses Cookie ist besonders wichtig für Plattformen, die mit Microsoft .NET-Technologien erstellt wurden, da es die anonymisierte Benutzersitzung durch den Server aufrechterhält. Ein weiteres wichtiges Cookie ist der __RequestVerificationToken, das für die Sicherheitsüberprüfung bei Anmeldeformularen eingesetzt wird.
Diese Cookies speichern keine personenbezogenen Daten, sind jedoch für verschiedene Benutzeraktionen erforderlich. Nutzer haben die Möglichkeit, ihre Browsereinstellungen anzupassen, um Cookies zu blockieren oder Benachrichtigungen zu erhalten. Dennoch kann dies die Funktionalität einiger Bereiche der Website beeinträchtigen, worauf die Autoren der Webseite hinweisen. Zusätzlich gibt es Cookies wie ld-cookieselection, das die Auswahl der Cookie-Einstellungen für 30 Tage speichert.
Sicherheitsanfälligkeiten bei Cookies
In einem weiteren Kontext berichtet McAfee Secure über eine neu entdeckte Sicherheitsanfälligkeit, die mit der Nutzung von HTTP und der Umleitung auf HTTPS verbunden ist. Diese Regelung führt dazu, dass das sessionid Cookie als sicher eingestuft wird, wenn erstmals eine Anfrage über HTTP erfolgt. In einem solchen Fall wird das Cookie jedoch abgelehnt und auf den 1. Januar 2018 gesetzt, um es ablaufen zu lassen.
Die Sicherheitsmaßnahmen sind entscheidend, da sicherheitsrelevante Cookies nur dann als sicher markiert werden, wenn die Verbindung über HTTPS erfolgt. Bei unsicheren Verbindungen wird der Wert des sessionid Cookies geleert, was potenziell zu Datenverlust oder unbefugtem Zugriff führen kann. Die Implementierung von korrekten Sicherheitsprotokollen kann helfen, diese Bedrohung zu verringern. Dabei wird auch auf spezifische Codierungspraktiken hingewiesen, die Cookies nur in sicheren Umgebungen setzen sollten.
Empfehlungen für die Cookie-Sicherheit
Ein wesentliches Element der Cookie-Sicherheit ist die Nutzung von web.config-Transformationsdateien. Diese technische Maßnahme erlaubt es, Cookies auf „Secure“ zu setzen, wodurch sie nur über sichere HTTPS-Verbindungen übertragen werden. Zu den empfohlenen Attributen gehören anonymousIdentification cookieRequireSSL sowie httpCookies requireSSL. Bei Verwendung des ASP.NET Membership Providers sind auch roleManager cookieRequireSSL und forms requireSSL wichtig.
Es ist zu beachten, dass das Versäumnis, alle Cookies entsprechend mit dem Attribut „Secure“ zu kennzeichnen, von Sicherheitsscannern identifiziert werden kann, was zu roten Flaggen in den Sicherheitsberichten führt. Daher ist es für Entwickler besonders wichtig, beim Schreiben von Webanwendungen auf Sicherheitsvorkehrungen zu achten, um die Benutzerinformationen und die Integrität der Anwendung zu schützen.
