Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
CERT warnt vor Gefahr durch Cookies

30.09.2015

 zur Newsdatenbank home

In einer Forschungsarbeit präsentiert ein internationales Team um Xiaofeng Zheng in gesicherten HTTPS-Verbindungen Angriffe auf Cookies. Alle großen Browser sind für derartige Angriffe anfällig, wie das Computer Emergency Response Team der Carnegie-Mellon-Universität jetzt bestätigt. Angreifer können durch manipulierte Cookies an private Daten, die eigentlich durch Transport Layer Security (TLS) geschützt sein sollten, gelangen.

Um etwa eine Sitzung eines angemeldeten Benutzers mit einer eindeutigen ID zu kennzeichnen, kommen Cookies sehr häufig zum Einsatz. Der Browser sendet das gespeicherte Cookie bei jedem Zugriff auf die Web-Seiten eines Dienstes mit und der Server erkennt daran, zu welcher Session diese Aktion gehört. Das Problem: Verschiedene Quellen unterscheiden die Browser dabei nicht ausreichend. Ein über eine ungesicherte HTTP-Verbindung gesetztes Cookie wird so auch bei späteren HTTPS-Zugriffen immer mitgeschickt.

In einer Man-in-the-Middle-Position kann ein Angreifer unbemerkt ungesicherte HTTP-Verbindungen erzeugen und mit beliebigen Inhalten füllen. Er kann auf diesem Weg ein Session-Cookie etwa durch eingeschleuste HTTP-Verbindungen überschreiben und damit eigene Session-IDs setzen. Die Forscher manipulierten bei einem realen Angriff für ihr Paper Cookies Lack Integrity: Real-World Implications das Web-Interface eines Google-Mail-Nutzers so, dass die unten eingeblendeten Chat-Fenster zum Account des Angreifers gehörten, er oben aber seine eigene Mailbox sah. Es gelang ihnen sogar über derart eingeschleuste Sitzungen bei einem beliebten chinesischen E-Commerce-Dienst, Bezahlvorgänge umzuleiten.

Da die ausgenutzten Probleme auf grundlegende Schwächen im Design der relevanten Standards zurückzuführen sind, ist der Schutz vor solchen Cookie-Angriffen schwierig. In seiner Vulnerability Note 804060 bilanziert das CERT/CC, dass nur eine Überarbeitung von RFC 6265 und RFC 6454 mit einer besseren "Same Origin Policy für Cookies" richtigen Schutz böte. Lediglich konsequentes HTTPS mit HSTS, was aber in der Praxis nahezu niemand macht, schützt, bis das passiert.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89