Unsichere Kekse

Auf der Sicherheitskonferenz Defcon hat Mike Perry demonstriert, wie man Cookies von verschlüsselten HTTPS-Verbindungen auslesen kann. Hintergrund: viele Server setzen das secure-Flag des Cookies nicht, der Browser übermittelt das Cookie dann auch die unverschlüsselten Verbindungen mit.

Das Auslesen der Cookies erfolgt durch 'Einbinden' von Grafiken in andere Websites, die unter Kontrolle des Angreifers stehen. Diese Grafiken werden per HTTP eingebunden, der Browser sendet das Cookie dann unverschlüsselt mit. Über z.B. WLANs mit Netzwerk-Sniffern, ARP-Spoofing oder gehackte Caches kann dieser ungeschützte Netzwerktraffic mitgelesen werden.

Auf der Seite der großen Anbieter sind davon u.a. GMail und Amazon betroffen, die ihre Cookies ohne secure-Flag senden.