Abo
  • Services:
Anzeige
Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Security: Cookies können Sicherheitslücke sein

Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Alle gängigen Browser sind über manipulierte Cookies angreifbar. Angreifer können mit einem Man-in-the-Middle-Angriff vertrauliche Nutzerdaten auslesen.

Anzeige

Moderne Webbrowser können über Cookies angegriffen werden. Einen entsprechenden Bericht aus dem August hat jetzt das Computer Emergency Response Team (CERT) der Carnegie-Mellon-Universität bestätigt. Mit dem Angriff können Cookies auf den Rechnern der Nutzer manipuliert werden, um später Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen durchzuführen.

Cookies sind verwundbar, weil sie nicht in jedem Fall eine Identitätsprüfung vornehmen, etwa bei Geschwister-Domains. Angreifer können also Webnutzern, die über eine unverschlüsselte Verbindung surfen, ein gefälschtes Cookie unterschieben, das später eine verschlüsselte Verbindung der gleichen Domain angreift.

Denkbar ist, dass ein Angreifer bei einer Kommunikation mit einer unverschlüsselten Subdomain, etwa foo.beispiel.com, ein Cookie mit dem Domain-Attribut beispiel.com setzt. Eine spätere Verbindung mit der Seite bar.beispiel.com könnte Angreifern dann über das manipulierte Cookie vertrauliche Nutzerdaten preisgeben, wenn Schwachstellen der Serverkonfiguration ausgenutzt werden.

Cookies dokumentieren ihre Herkunft nicht

Das ist möglich, weil Cookies keine sogenannte Chain-of-Custody haben, also keine genaue Dokumentation über den Verlauf vorliegt. Eine HTTPS-Verbindung kann demnach nicht prüfen, ob das Cookie durch eine sichere Verbindung ausgestellt wurde oder über eine unsichere. Weil Cookies darauf ausgelegt sind, Nutzer über den gesamten Bereich einer Webseite zu begleiten und zu tracken, haben sie deutlich mehr Zugriff auf Nutzerdaten als andere Anwendungen. Das macht sie zum beliebten Angriffsziel.

Nach Angaben des Forscherteams um Xiaofeng Zheng sind auch Verbindungen zu Banken oder zu Google-Diensten unter Umständen von den Angriffen betroffen. Auch gängige Browser wie Firefox, Internet Explorer, Edge und Chrome sind demnach betroffen. Die Experten empfehlen die Implementierung von HSTS (HTTP Strict Transport Security) auf Server-Ebene, um die Angriffe abzuwehren. HSTS wird jedoch nicht von allen positiv gesehen - die Technologie ist in der Kritik, da damit über eine Art Super-Cookie das Surfverhalten der Nutzer nachvollzogen werden kann.

Nachtrag

Wir haben einige Details zu den Angriffen präzisiert.


eye home zur Startseite
elf 25. Sep 2015

Was mich eher irritiert ist, dass der "Angreifer" ja auch verschlüsselte Verbindungen...

dakira 25. Sep 2015

Gegen diese Art von Angriffen schützen sich Webapps doch seit Jahren, sofern sie sauber...

Xiut 25. Sep 2015

Signieren ist nicht nur mit einem Private Key möglich und verschlüsseln erst recht...



Anzeige

Stellenmarkt
  1. IAV GmbH - Ingenieurgesellschaft Auto und Verkehr, Gifhorn, Berlin
  2. Rentschler Biopharma SE, Laupheim
  3. Teambank AG, Nürnberg
  4. Bertrandt Ingenieurbüro GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (Blu-rays, 4K UHDs, Box-Sets und Steelbooks im Angebot)
  2. 29,97€
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Schnitzeljagd

    Google I/O 2018 findet vom 8. bis zum 10. Mai statt

  2. Monopol

    Qualcomm muss 1 Milliarde Euro Strafe an EU zahlen

  3. Eagle EG6330K

    Die Isetta wird elektrisch

  4. Alexa und Google Assistant im Test

    Okay Google, es ist Zeit für einen Sprachkurs

  5. SOS

    Pubg plus Dschungelcamp

  6. Ohne Abomodell

    Google bietet im Play Store Hörbücher an

  7. Dating-App

    Tinder-Apps übertragen Bilder unverschlüsselt

  8. Atos Bull Sequana X1000

    Jülich bekommt schnellsten deutschen Supercomputer

  9. Erneuerbare Energien

    Energieunternehmen verdient gut mit Teslas Netzspeicher

  10. Hydrogen One

    REDs Holo-Smartphone soll im Sommer 2018 erscheinen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  2. EU-Netzpolitik Mit vollen Hosen in die App-ocalypse
  3. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  1. Re: Das Spiel wird er verlieren

    Dwalinn | 13:01

  2. Re: Dschungelcamp?! Panem!

    OhgieWahn | 12:59

  3. Re: Abschlussnote 1,0 Dipl.-Inf. (Uni) ... ich...

    h31nz | 12:59

  4. Re: Focal Loss falsch erklärt

    weltraumkuh | 12:58

  5. Microlino

    trapperjohn | 12:58


  1. 13:03

  2. 12:54

  3. 12:45

  4. 12:18

  5. 12:06

  6. 11:48

  7. 11:43

  8. 11:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel