30.09.2015
Auch HTTPS ist nicht sicher
Sicherheitsforscher warnen vor Cookie-Betrug
Autor: Andreas Fischer
Shutterstock/Kencana Studio
Angreifer können sich mithilfe von Cookies Zugriff auf vermeintlich sichere HTTPS-Verbindungen verschaffen, warnt ein Team von Sicherheitsforschern.
Cookies gelten gemeinhin als nicht besonders gefährlich. In Kombination mit ausgerechnet verschlüsselten HTTPS-Verbindungen kann sich ein Angreifer aber mithilfe der kleinen Web-Kekse Zugang zu fremden Daten verschaffen, warnt ein Team vor Sicherheitsforschern.
Angreifer könne beispielsweise per Main-in-the-Middle-Attacke ein HTTP-Cookie setzen, das ihm dann Zugriff auf die eigentlich per HTTPS verschlüsselten Daten verschaffe.
Zwar könne ein Cookie ein „Secure Flag“ enthalten, aber es gebe keine Möglichkeit, in einem Cookie zu vermerken, aus welcher Quelle es stamme. Ein Die Forscher empfehlen Webseiten-Betreibern HSTS (HTTP Strict Transport Security) zu verwenden. Dabei sendet der Server zusätzlich eine Frist mit, die bestimmt in welchem Zeitraum eine verschlüsselte Kommunikation erfolgen darf. Auch Anwender sollte ihren Browser aktualisieren, raten die Experten. Firefox und Chrome unterstützen HSTS schon seit den 4er-Versionen, der Internet Explorer erst mit der aktuellen Version 11.
In einem Whitepaper (PDF) beschreiben die Forscher die Auswirkungen. So sei es ihnen unter anderem gelungen, auf einen GMail-Account zuzugreifen, ein Online-Bankkonto zu übernehmen und einen Einkauf bei einem Online-Händler an eine andere Adresse umzuleiten.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Studie
KI ist emotionaler als die meisten Menschen
Trotz der vielen nützlichen Möglichkeiten mindert laut einer Studie immer noch Misstrauen die Effektivität von Anwendungen der Künstlichen Intelligenz.
>>