Cookie-Audit für idealo.de

Welche Cookies werden gesetzt? Sind sie sicher konfiguriert? Tracking-Cookies erkannt?

Gesamt

Tracking

ohne Flags

Cookies im Detail

sessionid

Domain: .idealo.de

Path: /

Läuft ab: 14.05.2026

Secure: ✗

HttpOnly: ✗

SameSite: —

Fehlend: Secure-Flag fehlt, HttpOnly-Flag fehlt, SameSite-Flag fehlt

bm_s

Domain: .idealo.de

Path: /

Läuft ab: 14.06.2026

Secure: ✓

HttpOnly: ✗

SameSite: —

Fehlend: HttpOnly-Flag fehlt, SameSite-Flag fehlt

bm_so

Domain: .idealo.de

Path: /

Läuft ab: 15.05.2026

Secure: ✓

HttpOnly: ✗

SameSite: —

Fehlend: HttpOnly-Flag fehlt, SameSite-Flag fehlt

Befunde

→3 Cookie(s) ohne Secure/HttpOnly/SameSite — Session-Hijacking-Risiko.

Cookies, Flags und DSGVO

Beim Besuch von idealo.de holen wir die Startseite einmal ab und sammeln die Set-Cookie- Header der Antwort. Pro Cookie prüfen wir die drei wichtigsten Sicherheits-Flags (Secure, HttpOnly, SameSite) und gleichen den Cookie-Namen gegen eine Liste bekannter Tracking-Cookies ab.

Tracking-Cookies (Google Analytics, Facebook Pixel, Hotjar, Bing Ads, Pinterest, HubSpot, ...) dürfen unter DSGVO und österreichischem TKG/TTDSG nur nach expliziter Einwilligung gesetzt werden. Wenn deine Webseite solche Cookies schon vor dem Klick auf "Cookies akzeptieren" setzt, ist das ein Verstoß — und wird im Zweifel teuer (Abmahnungen, Bußgelder bis 4 % des Jahresumsatzes).

Die Sicherheits-Flags schützen vor anderen Risiken: ohne Secure wird das Cookie auch über HTTP versendet — Man-in-the-Middle kann es abgreifen. Ohne HttpOnly kann eine XSS-Lücke das Cookie über JavaScript stehlen. Ohne SameSite ist es bei Cross-Site- Requests (CSRF) nicht geschützt. Für jedes Auth-Cookie sollten alle drei Flags gesetzt sein.

Mehr Details siehe Lexikon: Cookie-Flags.