DSGVO | Sicherheitsrisiko Cookies werden von Provider gesetzt.

Mutti

Mutti

Member
Der Webhoster, bei dem ein Freund von mir seine Webseiten betreibt, setzt wohl Cookies. (s.u.)

Screenshot 2022-11-01 at 13-47-48 Ergebnisse für Webbkoll - dataskydd.net.png


Ich habe das im Rahmen einen Anpassung für die DSGVO überprüft.

Sicherheitsrisiko soll wohl sein, wie u.s. beschrieben

HttpOnly bedeutet, dass Cookies nur vom Server gelesen werden können und nicht durch JavaScript im Browser. Das kann XSS-Angriffe (Cross-Site-Scripting) verhindern.

Secure bedeutet, dass ein Cookie nur über eine sichere (HTTPS-) Verbindung gesendet wird. Das verhindert MITM-Angriffe (Man-in-the-Middle).

https://en.wikipedia.org/wiki/Secure_cookie

Kann man das mit einer .htaccess ändern (Webhosting - Kein Root Zugriff) oder sollte/muss man sich direkt an den Support des Provider wenden.

Danke voraus.
 
Last edited:
Ich würde es eher so machen, um auch die vielen kaputten WebApps da draussen zu korrigieren:
Code: 
<IfModule ssl_module>
    <IfModule headers_module>
        Header always edit* Set-Cookie "^(.*)(?i:\s*;\s*Secure)(.*)$" "$1$2"
        Header edit* Set-Cookie "^(.*)(?i:\s*;\s*Secure)(.*)$" "$1$2"
        Header always edit Set-Cookie "^(.*)$" "$1; Secure"
        Header edit Set-Cookie "^(.*)$" "$1; Secure"
    </IfModule>
</IfModule>
<IfModule headers_module>
    Header always edit* Set-Cookie "^(.*)(?i:\s*;\s*HttpOnly)(.*)$" "$1$2"
    Header edit* Set-Cookie "^(.*)(?i:\s*;\s*HttpOnly)(.*)$" "$1$2"
    Header always edit Set-Cookie "^(.*)$" "$1; HttpOnly"
    Header edit Set-Cookie "^(.*)$" "$1; HttpOnly"
    Header always edit* Set-Cookie "^(.*)(?i:\s*;\s*SameSite=[A-Za-z0-9]+)(.*)$" "$1$2"
    Header edit* Set-Cookie "^(.*)(?i:\s*;\s*SameSite=[A-Za-z0-9]+)(.*)$" "$1$2"
    Header always edit Set-Cookie "^(.*)$" "$1; SameSite=Lax"
    Header edit Set-Cookie "^(.*)$" "$1; SameSite=Lax"
</IfModule>
 
Danke. Funktioniert beides nicht. Ist aber auch wohl nicht so tragisch in dem Fall. Provider Auskunft - Cookies sind nicht DSGVO relevant.

Cookies, die wir im Rahmen der Bot-Sperre setzen, gefragt (Name _lcp, _lcp2, _lcp3). Diese Cookies sind nicht personenbezogen und haben daher keinen Bedeutung im Rahmen der DSGVO.
 
You must log in or register to reply here.
Back
Top