Security: Cookies können Sicherheitslücke sein

Alle gängigen Browser sind über manipulierte Cookies angreifbar. Angreifer können mit einem Man-in-the-Middle-Angriff vertrauliche Nutzerdaten auslesen.

Artikel veröffentlicht am ,
Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Moderne Webbrowser können über Cookies angegriffen werden. Einen entsprechenden Bericht aus dem August hat jetzt das Computer Emergency Response Team (CERT) der Carnegie-Mellon-Universität bestätigt. Mit dem Angriff können Cookies auf den Rechnern der Nutzer manipuliert werden, um später Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen durchzuführen.

Stellenmarkt
  1. IT Systemadministrator (m/w/d)
    htp GmbH, Hannover
  2. IT System Engineer (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau in der Pfalz
Detailsuche

Cookies sind verwundbar, weil sie nicht in jedem Fall eine Identitätsprüfung vornehmen, etwa bei Geschwister-Domains. Angreifer können also Webnutzern, die über eine unverschlüsselte Verbindung surfen, ein gefälschtes Cookie unterschieben, das später eine verschlüsselte Verbindung der gleichen Domain angreift.

Denkbar ist, dass ein Angreifer bei einer Kommunikation mit einer unverschlüsselten Subdomain, etwa foo.beispiel.com, ein Cookie mit dem Domain-Attribut beispiel.com setzt. Eine spätere Verbindung mit der Seite bar.beispiel.com könnte Angreifern dann über das manipulierte Cookie vertrauliche Nutzerdaten preisgeben, wenn Schwachstellen der Serverkonfiguration ausgenutzt werden.

Cookies dokumentieren ihre Herkunft nicht

Das ist möglich, weil Cookies keine sogenannte Chain-of-Custody haben, also keine genaue Dokumentation über den Verlauf vorliegt. Eine HTTPS-Verbindung kann demnach nicht prüfen, ob das Cookie durch eine sichere Verbindung ausgestellt wurde oder über eine unsichere. Weil Cookies darauf ausgelegt sind, Nutzer über den gesamten Bereich einer Webseite zu begleiten und zu tracken, haben sie deutlich mehr Zugriff auf Nutzerdaten als andere Anwendungen. Das macht sie zum beliebten Angriffsziel.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Nach Angaben des Forscherteams um Xiaofeng Zheng sind auch Verbindungen zu Banken oder zu Google-Diensten unter Umständen von den Angriffen betroffen. Auch gängige Browser wie Firefox, Internet Explorer, Edge und Chrome sind demnach betroffen. Die Experten empfehlen die Implementierung von HSTS (HTTP Strict Transport Security) auf Server-Ebene, um die Angriffe abzuwehren. HSTS wird jedoch nicht von allen positiv gesehen - die Technologie ist in der Kritik, da damit über eine Art Super-Cookie das Surfverhalten der Nutzer nachvollzogen werden kann.

Nachtrag

Wir haben einige Details zu den Angriffen präzisiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


elf 25. Sep 2015

Was mich eher irritiert ist, dass der "Angreifer" ja auch verschlüsselte Verbindungen...

dakira 25. Sep 2015

Gegen diese Art von Angriffen schützen sich Webapps doch seit Jahren, sofern sie sauber...

Xiut 25. Sep 2015

Signieren ist nicht nur mit einem Private Key möglich und verschlüsseln erst recht...



Aktuell auf der Startseite von Golem.de
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

New World im Test: Amazon liefert ordentlich Abenteuer
Artikel
  1. Nasa: Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet
    Nasa
    Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet

    Erstmals sollen Asteroiden in der Umlaufbahn des Jupiter untersucht werden. Der Start der Raumsonde Lucy ist laut Nasa geglückt.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /