• IT-Karriere:
  • Services:

Security: Cookies können Sicherheitslücke sein

Alle gängigen Browser sind über manipulierte Cookies angreifbar. Angreifer können mit einem Man-in-the-Middle-Angriff vertrauliche Nutzerdaten auslesen.

Artikel veröffentlicht am ,
Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Moderne Webbrowser können über Cookies angegriffen werden. Einen entsprechenden Bericht aus dem August hat jetzt das Computer Emergency Response Team (CERT) der Carnegie-Mellon-Universität bestätigt. Mit dem Angriff können Cookies auf den Rechnern der Nutzer manipuliert werden, um später Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen durchzuführen.

Stellenmarkt
  1. Stromnetz Hamburg GmbH, Hamburg
  2. Valtech Mobility GmbH, verschiedene Standorte

Cookies sind verwundbar, weil sie nicht in jedem Fall eine Identitätsprüfung vornehmen, etwa bei Geschwister-Domains. Angreifer können also Webnutzern, die über eine unverschlüsselte Verbindung surfen, ein gefälschtes Cookie unterschieben, das später eine verschlüsselte Verbindung der gleichen Domain angreift.

Denkbar ist, dass ein Angreifer bei einer Kommunikation mit einer unverschlüsselten Subdomain, etwa foo.beispiel.com, ein Cookie mit dem Domain-Attribut beispiel.com setzt. Eine spätere Verbindung mit der Seite bar.beispiel.com könnte Angreifern dann über das manipulierte Cookie vertrauliche Nutzerdaten preisgeben, wenn Schwachstellen der Serverkonfiguration ausgenutzt werden.

Cookies dokumentieren ihre Herkunft nicht

Das ist möglich, weil Cookies keine sogenannte Chain-of-Custody haben, also keine genaue Dokumentation über den Verlauf vorliegt. Eine HTTPS-Verbindung kann demnach nicht prüfen, ob das Cookie durch eine sichere Verbindung ausgestellt wurde oder über eine unsichere. Weil Cookies darauf ausgelegt sind, Nutzer über den gesamten Bereich einer Webseite zu begleiten und zu tracken, haben sie deutlich mehr Zugriff auf Nutzerdaten als andere Anwendungen. Das macht sie zum beliebten Angriffsziel.

Nach Angaben des Forscherteams um Xiaofeng Zheng sind auch Verbindungen zu Banken oder zu Google-Diensten unter Umständen von den Angriffen betroffen. Auch gängige Browser wie Firefox, Internet Explorer, Edge und Chrome sind demnach betroffen. Die Experten empfehlen die Implementierung von HSTS (HTTP Strict Transport Security) auf Server-Ebene, um die Angriffe abzuwehren. HSTS wird jedoch nicht von allen positiv gesehen - die Technologie ist in der Kritik, da damit über eine Art Super-Cookie das Surfverhalten der Nutzer nachvollzogen werden kann.

Nachtrag

Wir haben einige Details zu den Angriffen präzisiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 593,53€ (mit Rabattcode "YDE1NUMXRJSHH3QM" - Bestpreis!)
  2. 68,23€ (PS4, Xbox One)
  3. (u. a. Crucial Ballistix 16GB DDR4-3200 RGB für 78,78€, Crucial Ballistix 32GB DDR4-2666 für...
  4. (aktuell u. a. Beboncool 5-in-1-Ladestation für Switch Joy Cons für 13,69€, Kopfhörer von...

elf 25. Sep 2015

Was mich eher irritiert ist, dass der "Angreifer" ja auch verschlüsselte Verbindungen...

dakira 25. Sep 2015

Gegen diese Art von Angriffen schützen sich Webapps doch seit Jahren, sofern sie sauber...

Xiut 25. Sep 2015

Signieren ist nicht nur mit einem Private Key möglich und verschlüsseln erst recht...


Folgen Sie uns
       


Cyberpunk 2077 - Trailer Juni 2020

Ds Spiel soll für alle aktuellen Plattformen im November 2020 erscheinen.

Cyberpunk 2077 - Trailer Juni 2020 Video aufrufen
    •  /