Abo
  • IT-Karriere:

Security: Cookies können Sicherheitslücke sein

Alle gängigen Browser sind über manipulierte Cookies angreifbar. Angreifer können mit einem Man-in-the-Middle-Angriff vertrauliche Nutzerdaten auslesen.

Artikel veröffentlicht am ,
Moderne Browser sind über Cookies angreifbar.
Moderne Browser sind über Cookies angreifbar. (Bild: Stan Honda/AFP/Getty Images)

Moderne Webbrowser können über Cookies angegriffen werden. Einen entsprechenden Bericht aus dem August hat jetzt das Computer Emergency Response Team (CERT) der Carnegie-Mellon-Universität bestätigt. Mit dem Angriff können Cookies auf den Rechnern der Nutzer manipuliert werden, um später Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen durchzuführen.

Stellenmarkt
  1. Service-Reisen Heyne GmbH & Co. KG, Gießen
  2. Linova Software GmbH, München

Cookies sind verwundbar, weil sie nicht in jedem Fall eine Identitätsprüfung vornehmen, etwa bei Geschwister-Domains. Angreifer können also Webnutzern, die über eine unverschlüsselte Verbindung surfen, ein gefälschtes Cookie unterschieben, das später eine verschlüsselte Verbindung der gleichen Domain angreift.

Denkbar ist, dass ein Angreifer bei einer Kommunikation mit einer unverschlüsselten Subdomain, etwa foo.beispiel.com, ein Cookie mit dem Domain-Attribut beispiel.com setzt. Eine spätere Verbindung mit der Seite bar.beispiel.com könnte Angreifern dann über das manipulierte Cookie vertrauliche Nutzerdaten preisgeben, wenn Schwachstellen der Serverkonfiguration ausgenutzt werden.

Cookies dokumentieren ihre Herkunft nicht

Das ist möglich, weil Cookies keine sogenannte Chain-of-Custody haben, also keine genaue Dokumentation über den Verlauf vorliegt. Eine HTTPS-Verbindung kann demnach nicht prüfen, ob das Cookie durch eine sichere Verbindung ausgestellt wurde oder über eine unsichere. Weil Cookies darauf ausgelegt sind, Nutzer über den gesamten Bereich einer Webseite zu begleiten und zu tracken, haben sie deutlich mehr Zugriff auf Nutzerdaten als andere Anwendungen. Das macht sie zum beliebten Angriffsziel.

Nach Angaben des Forscherteams um Xiaofeng Zheng sind auch Verbindungen zu Banken oder zu Google-Diensten unter Umständen von den Angriffen betroffen. Auch gängige Browser wie Firefox, Internet Explorer, Edge und Chrome sind demnach betroffen. Die Experten empfehlen die Implementierung von HSTS (HTTP Strict Transport Security) auf Server-Ebene, um die Angriffe abzuwehren. HSTS wird jedoch nicht von allen positiv gesehen - die Technologie ist in der Kritik, da damit über eine Art Super-Cookie das Surfverhalten der Nutzer nachvollzogen werden kann.

Nachtrag

Wir haben einige Details zu den Angriffen präzisiert.



Anzeige
Top-Angebote
  1. 26,99€ (Release am 26. Juli)
  2. 129,90€
  3. 47,99€
  4. 339,00€

elf 25. Sep 2015

Was mich eher irritiert ist, dass der "Angreifer" ja auch verschlüsselte Verbindungen...

dakira 25. Sep 2015

Gegen diese Art von Angriffen schützen sich Webapps doch seit Jahren, sofern sie sauber...

Xiut 25. Sep 2015

Signieren ist nicht nur mit einem Private Key möglich und verschlüsseln erst recht...


Folgen Sie uns
       


E-Bike-Neuerungen von Bosch angesehen

Neue Motoren und mehr Selbstständigkeit für Boschs E-Bike Systems - wir haben uns angesehen, was für 2020 geplant ist.

E-Bike-Neuerungen von Bosch angesehen Video aufrufen
Linux-Gaming: Steam Play or GTFO!
Linux-Gaming
Steam Play or GTFO!

Meine ersten Gaming-Eindrücke nach dem Umstieg von Windows auf Linux sind dank Steam recht positiv gewesen: Doch was passiert, wenn ich die heile Steam-(Play-)Welt verlasse und trotzdem Windows-Spiele unter Linux starten möchte? Meine anfängliche Euphorie weicht Ernüchterung.
Ein Praxistest von Eric Ferrari-Herrmann

  1. Project Mainline und Apex Google bringt überall Android-Updates, außer am Kernel
  2. Ubuntu Lenovo bietet Laptops mit vorinstalliertem Linux an
  3. Steam Play Tschüss Windows, hallo Linux - ein Gamer zieht um

iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

    •  /