Cookie set without SameSite Attribute

Cookie set without SameSite Attribute

Copyright © Shutterstock / Datenschutz-Stockfoto

Was bedeutet Cookie set without SameSite Attribute?

SameSite ist ein Attribut, das nur vom Server (wie HttpOnly) in Antwort-Cookies festgelegt werden kann, die an den Browser gesendet werden. SameSite-Cookies lassen Server verlangen, dass ein Cookie nicht mit Cross Site Anfragen gesendet wird. Dies schützt in gewissem Maße vor Cross-Site Request Forgery-Angriffen (CSRF).

Wissenswert

SameSite-Cookies sind noch experimentell und werden noch nicht von allen Browsern unterstützt.

Beschreibung

Das SameSite Attribut verhindert, dass der Browser dieses Cookie zusammen mit Cross Site Anfragen sendet. Das Hauptziel besteht darin, das Risiko von Informationsverlusten verschiedener Quellen zu verringern. Das Attribut bietet auch einen gewissen Schutz gegen Angriffe, die Cross Site Request Forgery unterstützen. Mögliche Werte für die Flag sind “Lax” oder “Strict”.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Die OSG Performance Suite

OSG Performance Suite

Die OSG Performance Suite ist das All-in-One SEO-Tool der nächsten Generation: Mithilfe von Künstlicher Intelligenz werden alle Prozesse in der SEO miteinander vernetzt und zu einem großen Teil automatisiert. Du deckst sämtliche Bereiche mit nur einem einzigen Tool ab:Über 800 Funktionen in über 20 Sprachen und 239 Google-Ländern machen die Performance Suite unverwechselbar. Nutze die Performance Suite mit deinem ganzen Team und sogar externen Mitarbeitern. Dank mehr als 4.000 Erklärtexten und detaillierten Handlungsempfehlungen sind keine Vorkenntnisse notwendig. Mit der PS digitalisierst du dein Unternehmen und setzt SEO-Maßnahmen eigenständig und ohne Agentur um. Hole dir jetzt deinen Free Account!Jetzt Free Account erstellenMehr zur Performance Suite
Banner SEO Technik

© OSG

Mögliche Lösung

Der Wert “Strict” verhindert, dass das Cookie vom Browser an die Zielwebsite gesendet wird, und zwar im gesamten Cross Site Browsing-Kontext, selbst wenn einem regulären Link gefolgt wird. Für eine GitHub-ähnliche Website würde dies beispielsweise bedeuten, dass ein angemeldeter Benutzer einem Link zu einem privaten GitHub-Projekt folgt, das in einem Diskussionsforum oder einer E-Mail eines Unternehmens veröffentlicht wurde. GitHub erhält keinen Sitzungscookie und der Benutzer kann nicht auf das Projekt zuzugreifen.

Auch eine Bank-Website möchte höchstwahrscheinlich nicht zulassen, dass Transaktionsseiten von externen Websites verlinkt werden. Daher ist die “Strict” Flag hier am besten geeignet.

Der Standardwert “Lax” bietet ein angemessenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit für Websites, die die angemeldete Sitzung des Benutzers beibehalten möchten, nachdem der Benutzer einen externen Link gefolgt ist. Im obigen GitHub-Szenario ist das Sitzungscookie zulässig, wenn einem regulären Link von einer externen Website gefolgt wird, während dieser in CSRF-anfälligen Anforderungsmethoden (z.B. POST) blockiert wird.

Security Scanner melden alle Cookies, die kein SameSite Attribut haben oder die keinen erkennbar richtigen Wert für das Attribut haben.

Datenbanklink zur Schwachstelle

https://www.owasp.org/index.php/SameSite 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte