Auch HTTPS ist nicht sicher

Sicherheitsforscher warnen vor Cookie-Betrug

von - 30.09.2015
Gefahr durch Cookies
Foto: Shutterstock/Kencana Studio
Angreifer können sich mithilfe von Cookies Zugriff auf vermeintlich sichere HTTPS-Verbindungen verschaffen, warnt ein Team von Sicherheitsforschern.
Cookies gelten gemeinhin als nicht besonders gefährlich. In Kombination mit ausgerechnet verschlüsselten HTTPS-Verbindungen kann sich ein Angreifer aber mithilfe der kleinen Web-Kekse Zugang zu fremden Daten verschaffen, warnt ein Team vor Sicherheitsforschern.
Angriff auf GMail
Angriff auf GMail: Mithilfe von Cookies können sich Angreifer Zugriff zu gesicherten Diensten wie GMail verschaffen, warnen Sicherheitsforscher.
(Quelle: Shutterstock/Ajayptp )
Zwar könne ein Cookie ein „Secure Flag“ enthalten, aber es gebe keine Möglichkeit, in einem Cookie zu vermerken, aus welcher Quelle es stamme. Ein Angreifer könne beispielsweise per Main-in-the-Middle-Attacke ein HTTP-Cookie setzen, das ihm dann Zugriff auf die eigentlich per HTTPS verschlüsselten Daten verschaffe.
Die Forscher empfehlen Webseiten-Betreibern HSTS (HTTP Strict Transport Security) zu verwenden. Dabei sendet der Server zusätzlich eine Frist mit, die bestimmt in welchem Zeitraum eine verschlüsselte Kommunikation erfolgen darf. Auch Anwender sollte ihren Browser aktualisieren, raten die Experten. Firefox und Chrome unterstützen HSTS schon seit den 4er-Versionen, der Internet Explorer erst mit der aktuellen Version 11.
In einem Whitepaper (PDF) beschreiben die Forscher die Auswirkungen. So sei es ihnen unter anderem gelungen, auf einen GMail-Account zuzugreifen, ein Online-Bankkonto zu übernehmen und einen Einkauf bei einem Online-Händler an eine andere Adresse umzuleiten.
Bilderstrecke
5 Bilder
Nur die Webseite, die Sie gerade besuchen, darf Cookies auf Ihren PC schreiben und von dort lesen. Webseiten wie Spiegel Online oder Zeit Online binden aber Inhalte von Drittanbietern ein, etwa Werbebanner oder die Empfehlungsfunktion von Facebook.
Um auch ohne Anmeldung einen Online-Warenkorb zu führen, verwenden Händler wie Amazon Session-Cookies. Sie erstellen eine Session-ID und lassen diese in einem Cookie speichern. In einer Datenbank des Händler-Servers stehen zusammen mit der Session-ID die
Welche Daten in Cookies gespeichert werden, legen die Webseiten fest, von denen die Cookies stammen. Zusammen mit den Daten werden aber auch der Gültigkeitsbereich des Cookies, das Verfallsdatum und die letzte Änderung der Daten gespeichert.
Wenn Sie eine Webseite öffnen, dann erhält der Webbrowser von der Seite den Befehl, ein Cookie mit einer bestimmten Information zu erstellen. Wenn der Webbrowser diesen Befehl annimmt, dann speichert er das Cookie und die Information auf der Festplatte od

Profi-Wissen :

Cookies — Speicher für Website-Einstellungen

>>
Verwandte Themen

Mehr zum Thema