Abo
  • Services:
Anzeige
Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Security: Cookies können Sicherheitslücke sein

Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Alle gängigen Browser sind über manipulierte Cookies angreifbar. Angreifer können mit einem Man-in-the-Middle-Angriff vertrauliche Nutzerdaten auslesen.

Anzeige

Moderne Webbrowser können über Cookies angegriffen werden. Einen entsprechenden Bericht aus dem August hat jetzt das Computer Emergency Response Team (CERT) der Carnegie-Mellon-Universität bestätigt. Mit dem Angriff können Cookies auf den Rechnern der Nutzer manipuliert werden, um später Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen durchzuführen.

Cookies sind verwundbar, weil sie nicht in jedem Fall eine Identitätsprüfung vornehmen, etwa bei Geschwister-Domains. Angreifer können also Webnutzern, die über eine unverschlüsselte Verbindung surfen, ein gefälschtes Cookie unterschieben, das später eine verschlüsselte Verbindung der gleichen Domain angreift.

Denkbar ist, dass ein Angreifer bei einer Kommunikation mit einer unverschlüsselten Subdomain, etwa foo.beispiel.com, ein Cookie mit dem Domain-Attribut beispiel.com setzt. Eine spätere Verbindung mit der Seite bar.beispiel.com könnte Angreifern dann über das manipulierte Cookie vertrauliche Nutzerdaten preisgeben, wenn Schwachstellen der Serverkonfiguration ausgenutzt werden.

Cookies dokumentieren ihre Herkunft nicht

Das ist möglich, weil Cookies keine sogenannte Chain-of-Custody haben, also keine genaue Dokumentation über den Verlauf vorliegt. Eine HTTPS-Verbindung kann demnach nicht prüfen, ob das Cookie durch eine sichere Verbindung ausgestellt wurde oder über eine unsichere. Weil Cookies darauf ausgelegt sind, Nutzer über den gesamten Bereich einer Webseite zu begleiten und zu tracken, haben sie deutlich mehr Zugriff auf Nutzerdaten als andere Anwendungen. Das macht sie zum beliebten Angriffsziel.

Nach Angaben des Forscherteams um Xiaofeng Zheng sind auch Verbindungen zu Banken oder zu Google-Diensten unter Umständen von den Angriffen betroffen. Auch gängige Browser wie Firefox, Internet Explorer, Edge und Chrome sind demnach betroffen. Die Experten empfehlen die Implementierung von HSTS (HTTP Strict Transport Security) auf Server-Ebene, um die Angriffe abzuwehren. HSTS wird jedoch nicht von allen positiv gesehen - die Technologie ist in der Kritik, da damit über eine Art Super-Cookie das Surfverhalten der Nutzer nachvollzogen werden kann.

Nachtrag

Wir haben einige Details zu den Angriffen präzisiert.


eye home zur Startseite
elf 25. Sep 2015

Was mich eher irritiert ist, dass der "Angreifer" ja auch verschlüsselte Verbindungen...

dakira 25. Sep 2015

Gegen diese Art von Angriffen schützen sich Webapps doch seit Jahren, sofern sie sauber...

Xiut 25. Sep 2015

Signieren ist nicht nur mit einem Private Key möglich und verschlüsseln erst recht...



Anzeige

Stellenmarkt
  1. ETAS GmbH & Co. KG, Stuttgart
  2. domainfactory GmbH, Ismaning
  3. RUESS GROUP, Stuttgart
  4. item Industrietechnik GmbH, Solingen


Anzeige
Spiele-Angebote
  1. ab 59,95€ (Vorbesteller-Preisgarantie)
  2. (-20%) 39,99€
  3. (-60%) 11,99€

Folgen Sie uns
       


  1. Markenrecht

    Apple verhindert Birnen-Logo

  2. Syberia 3 im Test

    Kate Walker erlebt den Absturz

  3. Space Launch System

    Nasa muss Erstflug der neuen Trägerrakete erneut verschieben

  4. CEO-Fraud

    Google und Facebook um 100 Millionen US-Dollar betrogen

  5. TKG-Änderungsgesetz

    Regierung will keinen Schutz vor Low-Speed und Abzocke

  6. Samsung

    Neue Galaxy-S8-Modelle erhältlich

  7. Cobot

    Nicht so grob, Kollege Roboter!

  8. Mimimi

    Entwicklerverband kritisiert Deutschen Computerspielpreis

  9. Sprachassistent

    Google stellt SDK für Assistant vor

  10. Anker Powercore+ 26800 PD

    Akkupack liefert Strom per Power Delivery über USB Typ C



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarte Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen
  2. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  3. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt

  1. Re: Youtube und Filme?

    Fonsis | 14:17

  2. Och man...

    Friko44 | 14:16

  3. Re: Damit sind wir jetzt in einem Preisbereich...

    david_rieger | 14:15

  4. Re: Die Regierung hat keine Angst.

    smirg0l | 14:14

  5. Re: Mal ganz ehrlich:

    Stefan99 | 14:14


  1. 14:19

  2. 14:00

  3. 13:24

  4. 13:17

  5. 12:57

  6. 12:32

  7. 12:01

  8. 11:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel