Schuld daran, sind meist die Anbieter von Webseiten und -diensten, die ihre Cookies falsch einsetzen. Vielfach werden Cookies verwendet, um eindeutige Kennungen für den gesicherten Zugang der Besucher länger zu speichern wie bei Webmail, Warenkörben, Foren, Chats und so weiter – solch ein Cookie wird Sitzungscookie genannt.
Bei Cookies gibt es ein Flag, das bestimmt, ob diese über sichere (SSL) oder über normale unverschlüsselte Verbindungen an den Server gesandt werden.
Schlampige Anbieter setzen beim Cookie das Flag für das Rücksenden über sichere Verbindung nicht, sodass das Cookie unverschlüsselt gesendet wird.
Damit ist einer einfachen Verwendung durch Diebe nach einem Cookiedienbstahl Tür und Tor geöffnet.
Ein Bespiel für einen solchen Cookiediebstahl:
Ein Surfer befindet sich in einem Internetcafé mit WLAN. Nach der Anmeldung beim Webmail eines Mailanbieters besucht er eine andere Webseite. Auf dieser „bösen“ Webseite ist ein Bild gespeichert ist, das angeblich auf dem Webserver des Mailanbieters liegt. Der Browser fordert das Bild an und sendet unaufgefordert das Cookie unverschlüsselt an die Webseite. Der Angreifer, der sich im gleichen WLAN befindet (das kann auch zig Meter entfernt sein!) belauscht den Netzwerkverkehr, kann so das Cookie empfangen und für eigene Logins verwenden.
Wenn das Szenario nun auf Bankzugänge oder Warenkörbe bei Onlineshops angewandt wird, ist klar, dass Zugangsdaten damit trotz Verschlüsselung unsicher sind.
Problematisch ist auch die Tatsache, dass das Vortäuschen der Computeradresse (IP) oder Netzwerkkartenkennung (MAC) des Opfers durch den Angreifer mittes DNS-Poisoning oder ARP-Spoofing auch in anderen Netzen als nur WLAN klappt.
Bis vor kurzem war das Szenario nur ein Proof-of-Concept, der auf der defcon vorgestellt wurde; jetzt gibt es anwendbare Exploits.
Namhafte Webmailanbieter oder Onlineshops verwenden leider immer noch unsichere Cookies trotz angeblicher sicherer Verbindung über ihre Webseiten.
Namen nenne ich hier lieber nicht.
Kommentare
#1 GwenDragon schrieb am 17.12.2008 13:16 folgendes:
Auf opera.com hab ich im Wishlist-Forum einen Eintrag gemacht, damit ein Warnmechanismus in Opera eingeführt wird und/oder zwangsweise das Cookie auf sicher gestellt wird bei SSL.
Wenigstens bei Opera 10 solte sowas kommen müssen, den Firefox beitet ein Addon, welches das längst kann.
Wunsch bitte unterstützen auf <http://my.opera.com/community/forums/topic.dml?id=260758>
#2 GwenDragon schrieb am 23.12.2010 18:32 folgendes:
Anscheinend ist sowas für Operas Programmierer über mehrere Jahre nicht wichtig genug, um einen Warnmechanismus bei unsicheren Cookies zu kreieren.
Anders kann ich die Totenstille im Forenbeitrag Add warning for unsecure cookies nicht erklären.
↑Artikel
Kommentar für Blogeintrag
Vorschau des Kommentars
TrackBack-URL:
http://gwendragon.de/blog/Web/Sicherheit/unsichere-cookies-verhindern-sicher-surfen.html/trackback↑Artikel