Auch HTTPS ist nicht sicher 01.10.2015, 09:55 Uhr

Sicherheitsforscher warnen vor Cookie-Betrug

Angreifer können sich mithilfe von Cookies Zugriff auf vermeintlich sichere HTTPS-Verbindungen verschaffen, warnt ein Team von Sicherheitsforschern.
(Quelle: Shutterstock/Kencana Studio)
Cookies gelten gemeinhin als nicht besonders gefährlich. In Kombination mit ausgerechnet verschlüsselten HTTPS-Verbindungen kann sich ein Angreifer aber mithilfe der kleinen Web-Kekse Zugang zu fremden Daten verschaffen, warnt ein Team vor Sicherheitsforschern.
Angriff auf GMail: Mithilfe von Cookies können sich Angreifer Zugriff zu gesicherten Diensten wie GMail verschaffen, warnen Sicherheitsforscher.
Quelle: Shutterstock/Ajayptp
Zwar könne ein Cookie ein „Secure Flag“ enthalten, aber es gebe keine Möglichkeit, in einem Cookie zu vermerken, aus welcher Quelle es stamme. Ein Angreifer könne beispielsweise per Main-in-the-Middle-Attacke ein HTTP-Cookie setzen, das ihm dann Zugriff auf die eigentlich per HTTPS verschlüsselten Daten verschaffe.
Die Forscher empfehlen Webseiten-Betreibern HSTS (HTTP Strict Transport Security) zu verwenden. Dabei sendet der Server zusätzlich eine Frist mit, die bestimmt in welchem Zeitraum eine verschlüsselte Kommunikation erfolgen darf. Auch Anwender sollte ihren Browser aktualisieren, raten die Experten. Firefox und Chrome unterstützen HSTS schon seit den 4er-Versionen, der Internet Explorer erst mit der aktuellen Version 11.
In einem Whitepaper (PDF) beschreiben die Forscher die Auswirkungen. So sei es ihnen unter anderem gelungen, auf einen GMail-Account zuzugreifen, ein Online-Bankkonto zu übernehmen und einen Einkauf bei einem Online-Händler an eine andere Adresse umzuleiten.

Bildergalerie
Cookies sind kleine Textbausteine,die von Websites auf dem Computer abgelegt werden. Sie sind einerseits nützlich, andererseits bedrohen sie aber Ihre Privatsphäre.




Das könnte Sie auch interessieren