Hallo,
ein DSGVO-Experte hat die Webseite eines Kunden überprüft: www.aytex.de <http://www.aytex.de/>
Ergebnis der Überprüfung: Beim CSRF-Cookie > csrf_https-contao_csrf_token ist gem. der Anforderung nach § 25 TTDSG zu bewerten, ob hier überhaupt eine entsprechende
Erforderlichkeit für den Einsatz des CSRF-Cookies vorliegt. Dies ist nicht der Fall, da es sich bei dem CSRF-Cookie Token um ein Sicherheits-Cookie handelt, welches die Datenübertragung sichern soll.
Für den Betrieb der Internetseite ist dieser nicht technisch zwingend notwendige, selbst wenn aus einem Sicherheitsgedanken heraus angewendet wird.
Wird der CSRF-Cookie auf der Webseite anlasslos erzeugt, genauer gesagt gesetzt, also bei jedem Seiten-Besucher / Aufruf der Webseite, liegt damit ein Verstoß gegen § 25 TTDSG vor.
Es ist technisch nicht notwendig und zum Erkennen etwaige CSRF-Attacken bedarf es keinen CSRF-Token auf der Webseite für unangemeldete / nicht registrierte Besucher, die die Webseite aufrufen.
Frage 1: Wie kann der CSRF-Cookie beim Aufruf der Webseite deaktiviert werden?
Frage 2: Kann das CSRF-Cookie auf der Kontaktseite beim Absenden der Nachricht aktiviert werden?
Lesezeichen