Cookies stellen eine unterschätzte Bedrohung für eigentlich sichere HTTP Secure (HTTPS) Verbindungen dar. Alle Browser sind für konkrete Angriffe anfällig, die private Daten gefährden, warnt das renommierte CERT Coordination Center (CERT/CC) der Carnegie Mellon University (CMU). Das CERT/CC ist das Koordinierungszentrum des „Computer Emergency Response Team“ (CERT) des „Software Engeneering Institutes“ der Carnegie Mellon University. Solche CERT-Teams, sind Gruppen von Experten, die Sicherheitsvorfälle behandeln; sozusagen eine IT-Security Task Force.
In einer aktuellen Meldung warnt das renomierte CERT/CC vor der Gefahr, die durch Cookies bei HTTPS Verbindungen ausgehen kann. Die Warnung basiert auf einer Forschungsarbeit eines internationalen Teams um Xiaofeng Zheng, in der gezeigt wird, dass durch manipulierte Cookies Angreifer an private Daten gelangen können, die eigentlich durch Transport Layer Security (TLS) geschützt sein sollten.
Leider sind nach dieser Arbeit alle großen Browser für solche Angriffe gefährdet und ein Schutz vor solchen Cookie-Angriffen ist schwierig, da die ausgenutzten Probleme auf grundlegende Schwächen im Design der relevanten Standards zurückzuführen sind. Richtigen Schutz böte nur eine Überarbeitung von RFC 6265 (Standard über HTTP State Management Mechanism) und RFC 6454 (Standard über The Web Origin Concept) mit einer besseren „Same Origin Policy für Cookies“, bilanziert das CERT/CC. Bis das passiert, schützt lediglich konsequentes HTTPS mit HTTP Strict Transport Security (HSTS) – was wieder zeigt, wie wichtig ein dem Stand der Technik entsprechend konfigurierter Webserver in der Praxis ist. Ein wichtiges Dokument, welches wichtige Hilfestellung leisten kann ist das „Applied Crypto Hardening“ (PDF) von BetterCrypto.org.
Bildquellen
- macbook-926321_1280: StockSnap by www.pixabay.com | CC0
