Cookies gelten gemeinhin als nicht besonders gefährlich. In Kombination mit ausgerechnet verschlüsselten HTTPS-Verbindungen kann sich ein Angreifer aber mithilfe der kleinen Web-Kekse Zugang zu fremden Daten verschaffen, warnt ein Team vor Sicherheitsforschern.
Zwar könne ein Cookie ein „Secure Flag“ enthalten, aber es gebe keine Möglichkeit, in einem Cookie zu vermerken, aus welcher Quelle es stamme. Ein
Angreifer könne beispielsweise per Main-in-the-Middle-Attacke ein HTTP-Cookie setzen, das ihm dann Zugriff auf die eigentlich per HTTPS verschlüsselten Daten verschaffe.
Die Forscher empfehlen Webseiten-Betreibern HSTS (HTTP Strict Transport Security) zu verwenden. Dabei sendet der Server zusätzlich eine Frist mit, die bestimmt in welchem Zeitraum eine verschlüsselte Kommunikation erfolgen darf. Auch Anwender sollte ihren Browser aktualisieren, raten die Experten. Firefox und Chrome unterstützen HSTS schon seit den 4er-Versionen, der Internet Explorer erst mit der aktuellen Version 11.
In einem
Whitepaper (PDF) beschreiben die Forscher die Auswirkungen. So sei es ihnen unter anderem gelungen, auf einen GMail-Account zuzugreifen, ein Online-Bankkonto zu übernehmen und einen Einkauf bei einem Online-Händler an eine andere Adresse umzuleiten.