Browser haben ein Problem mit Cookies

EnterpriseSoftware

Die Art und Weise wie Browser mit Cookies umgehen, ermöglicht Hackern, sich auf legalen Webseiten einzuschleichen.

Die beiden wichtigsten Browser ermöglichen Angriffe auf Webseiten. So hat der polnische Sicherheitsforscher Michal Zalewski mitgeteilt, dass die Art und Weise wie Browser mit Cookies umgehen, Hackern ermögliche, sich auf legalen Webseiten einzuschleichen.

Demnach sei es alarmierend einfach, bösartige oder gefälschte Inhalte auf die Browser der Nutzer zu laden und das sogar auf den Webservern der eigentlichen Anbieter. Laut Zalewski sei das Problem schon länger bekannt, aber nichts sei in dieser Richtung unternommen worden.

“Es ist jetzt keine unmittelbare Bedrohung des Lebens, wie wir es kennen”, kommentierte der Sicherheitsexperte in einer Mailing-Liste, jedoch seien viele Web-Scripte sehr einfach über einige Varianten dieses Sicherheitsmankos auszunutzen.

So könne ein Angreifer etwa die Daten eines Nutzers ergattern, der sich auf einer Seite einloggt und dabei seine Informationen eingibt. Über das Leck würde sich der Nutzer aber über eine Session einloggen, die von dem Angreifer gestartet wurde.

Gerade der Mechanismus, der den Anwender vor illegalen Cookies schützen soll, sei laut Zalewski für das Leck verantwortlich. Der Browser prüft die Daten eines Cookies, das er erhält. Doch scheint dieser Mechanismus zumindest im Internet Explorer und im Firefox nicht allzu präzise zu sein und könne leicht umgangen werden. Gelingt es einem Hacker, diese Kontrollen zu Umgehen, dann könnten leicht Tausende E-Commerce-Seiten angegriffen werden.