Abo
  • Services:
Anzeige
Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Security: Cookies können Sicherheitslücke sein

Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Alle gängigen Browser sind über manipulierte Cookies angreifbar. Angreifer können mit einem Man-in-the-Middle-Angriff vertrauliche Nutzerdaten auslesen.

Anzeige

Moderne Webbrowser können über Cookies angegriffen werden. Einen entsprechenden Bericht aus dem August hat jetzt das Computer Emergency Response Team (CERT) der Carnegie-Mellon-Universität bestätigt. Mit dem Angriff können Cookies auf den Rechnern der Nutzer manipuliert werden, um später Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen durchzuführen.

Cookies sind verwundbar, weil sie nicht in jedem Fall eine Identitätsprüfung vornehmen, etwa bei Geschwister-Domains. Angreifer können also Webnutzern, die über eine unverschlüsselte Verbindung surfen, ein gefälschtes Cookie unterschieben, das später eine verschlüsselte Verbindung der gleichen Domain angreift.

Denkbar ist, dass ein Angreifer bei einer Kommunikation mit einer unverschlüsselten Subdomain, etwa foo.beispiel.com, ein Cookie mit dem Domain-Attribut beispiel.com setzt. Eine spätere Verbindung mit der Seite bar.beispiel.com könnte Angreifern dann über das manipulierte Cookie vertrauliche Nutzerdaten preisgeben, wenn Schwachstellen der Serverkonfiguration ausgenutzt werden.

Cookies dokumentieren ihre Herkunft nicht

Das ist möglich, weil Cookies keine sogenannte Chain-of-Custody haben, also keine genaue Dokumentation über den Verlauf vorliegt. Eine HTTPS-Verbindung kann demnach nicht prüfen, ob das Cookie durch eine sichere Verbindung ausgestellt wurde oder über eine unsichere. Weil Cookies darauf ausgelegt sind, Nutzer über den gesamten Bereich einer Webseite zu begleiten und zu tracken, haben sie deutlich mehr Zugriff auf Nutzerdaten als andere Anwendungen. Das macht sie zum beliebten Angriffsziel.

Nach Angaben des Forscherteams um Xiaofeng Zheng sind auch Verbindungen zu Banken oder zu Google-Diensten unter Umständen von den Angriffen betroffen. Auch gängige Browser wie Firefox, Internet Explorer, Edge und Chrome sind demnach betroffen. Die Experten empfehlen die Implementierung von HSTS (HTTP Strict Transport Security) auf Server-Ebene, um die Angriffe abzuwehren. HSTS wird jedoch nicht von allen positiv gesehen - die Technologie ist in der Kritik, da damit über eine Art Super-Cookie das Surfverhalten der Nutzer nachvollzogen werden kann.

Nachtrag

Wir haben einige Details zu den Angriffen präzisiert.


eye home zur Startseite
elf 25. Sep 2015

Was mich eher irritiert ist, dass der "Angreifer" ja auch verschlüsselte Verbindungen...

dakira 25. Sep 2015

Gegen diese Art von Angriffen schützen sich Webapps doch seit Jahren, sofern sie sauber...

Xiut 25. Sep 2015

Signieren ist nicht nur mit einem Private Key möglich und verschlüsseln erst recht...



Anzeige

Stellenmarkt
  1. Media-Saturn IT-Services GmbH, Ingolstadt
  2. Heinzmann GmbH & Co. KG, Schönau
  3. Daimler AG, Leinfelden-Echterdingen
  4. SUEZ Deutschland GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)
  2. (u. a. Die große Bud Spencer-Box Blu-ray 16,97€, Club der roten Bänder 1. Staffel Blu-ray 14...
  3. (u. a. 96 Hours Taken 3 6,97€, London Has Fallen 9,97€, Homefront 7,49€, Riddick 7,49€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  2. Kein Internet

    Nach Windows-Update weltweit Computer offline

  3. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  4. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  5. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  6. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  7. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI

  8. Redox OS

    Wer nicht rustet, rostet

  9. Star-Wars-Fanfilm

    Luke und Leia fliegen übers Wasser

  10. Sony

    Screen für Android Auto und Carplay kommt für 500 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Re: Problem bei mir schon länger

    JouMxyzptlk | 16:14

  2. Wahrscheinlich fallen jetzt alle schlamperrouter...

    JouMxyzptlk | 16:13

  3. geHyptes Produkt - 99% der Leute können das nicht...

    Shrykull | 16:08

  4. Re: Echtes FTTH? Nein, es ist Vectoring!

    Ovaron | 16:07

  5. Re: Gibts wirklich nix von Telekom Drittanbieter...

    DooMMasteR | 16:06


  1. 16:03

  2. 15:54

  3. 15:42

  4. 14:19

  5. 13:48

  6. 13:37

  7. 12:30

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel