Sicherheit
30.09.2015
Auch HTTPS ist nicht sicher

Sicherheitsforscher warnen vor Cookie-Betrug

Autor:
Gefahr durch CookiesGefahr durch CookiesGefahr durch Cookies
Shutterstock/Kencana Studio
Angreifer können sich mithilfe von Cookies Zugriff auf vermeintlich sichere HTTPS-Verbindungen verschaffen, warnt ein Team von Sicherheitsforschern.
Cookies gelten gemeinhin als nicht besonders gefährlich. In Kombination mit ausgerechnet verschlüsselten HTTPS-Verbindungen kann sich ein Angreifer aber mithilfe der kleinen Web-Kekse Zugang zu fremden Daten verschaffen, warnt ein Team vor Sicherheitsforschern.
  • Angriff auf GMailAngriff auf GMailAngriff auf GMail
     
    Angriff auf GMail: Mithilfe von Cookies können sich Angreifer Zugriff zu gesicherten Diensten wie GMail verschaffen, warnen Sicherheitsforscher.
    Quelle:
    Shutterstock/Ajayptp
Zwar könne ein Cookie ein „Secure Flag“ enthalten, aber es gebe keine Möglichkeit, in einem Cookie zu vermerken, aus welcher Quelle es stamme. Ein Angreifer könne beispielsweise per Main-in-the-Middle-Attacke ein HTTP-Cookie setzen, das ihm dann Zugriff auf die eigentlich per HTTPS verschlüsselten Daten verschaffe.
Die Forscher empfehlen Webseiten-Betreibern HSTS (HTTP Strict Transport Security) zu verwenden. Dabei sendet der Server zusätzlich eine Frist mit, die bestimmt in welchem Zeitraum eine verschlüsselte Kommunikation erfolgen darf. Auch Anwender sollte ihren Browser aktualisieren, raten die Experten. Firefox und Chrome unterstützen HSTS schon seit den 4er-Versionen, der Internet Explorer erst mit der aktuellen Version 11.
In einem Whitepaper (PDF) beschreiben die Forscher die Auswirkungen. So sei es ihnen unter anderem gelungen, auf einen GMail-Account zuzugreifen, ein Online-Bankkonto zu übernehmen und einen Einkauf bei einem Online-Händler an eine andere Adresse umzuleiten.
Bilderstrecke
Cookies sind kleine Textbausteine,die von Websites auf dem Computer abgelegt werden. Sie sind einerseits nützlich, andererseits bedrohen sie aber Ihre Privatsphäre.

mehr zum Thema

Swisscom

Neue Cyberbedrohungen auf dem Radar

Der Cyber Security Threat Radar von Swisscom dient als Kompass, um sicher durch die Cyberwelt zu manövrieren und deckt Vorgehensweisen von Cyberkiminellen auf.
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices". >>
Zum Welt-Passwort-Tag

"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"

Miro Mitrovic, Area Vice President Sales DACH bei Proofpoint
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps. >>
Schellerer Ausbau

Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser

Glasfaser in Hessen
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen. >>
Studie

KI ist emotionaler als die meisten Menschen

Trotz der vielen nützlichen Möglichkeiten mindert laut einer Studie immer noch Misstrauen die Effektivität von Anwendungen der Künstlichen Intelligenz. >>