Wiener „schockiert“

Sicherheitslücke rund um „namenlose“ Cookies

Web
16.08.2023 14:40

Eine Art Hintertür in den Internet-Sicherheitsabläufen, die es potenziellen Betrügern erlaubt, sich in die Kommunikation zwischen einer mit Hilfssoftwares erstellten Website und einem Nutzer einzuklinken, haben Forscher der Technischen Universität Wien entdeckt. An der Behebung der Lücke rund um „namenlose“ Cookies wird gearbeitet.

Mit der Weiterentwicklung des Internets in Richtung Austauschplattform von Apps und Codes und der Etablierung von immer neuen Systemen, die nicht stets auf die gewünschte Weise miteinander interagieren, tun sich auch unerwartete Problemfelder auf, heißt es seitens der TU Wien. Eine einheitliche Art Standardisierungsbehörde für das gesamte World Wide Web gibt es überdies nicht wirklich. So entwickelt sich das Netz immer ein Stück weit frei vor sich hin.

„Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standards allgemein übernommen werden. Und manchmal, wie in diesem Fall, liegen die Probleme auch in der Norm selbst“, so Marco Squarcina vom Institut für Logic und Computation der TU.

Er sah sich mit einem Forschungsteam das Zusammenspiel zwischen Webseiten, bei deren Entwicklung Programme zur Anwendung kamen, mit denen Homepages sozusagen auf Basis von vorgefertigten Lösungen schnell aufgesetzt werden können (Webframeworks), und Cookies an.

Letztere sind seit dem Ausrollen der aktuellen Datenschutzbestimmungen durch die mannigfaltigen Einstellungs-Nachfragen von Websites bei ihren Nutzern in den vergangenen Jahren deutlich bekannter geworden. Letztlich handelt es sich dabei um kleine Datenpakete, die zwischen einem Server, der eine Website beherbergt, und dem Webbrowser des Benutzers transferiert werden. Im Grunde werden hier individuelle Nutzerdaten ausgetauscht, die für den nächsten Besuch der Homepage gespeichert werden, um sie mehr oder weniger auf den Benutzer abzustimmen.

Großer Schock 
„Wir waren ziemlich schockiert, als wir herausfanden, welche Sicherheitslücken es hier derzeit gibt“, so Squarcina. Das betrifft vor allem Cookies, die mit keinem „Namen“ versehen sind, heißt es in der Aussendung. Derartige „namenlose“ Cookies sind technisch erlaubt.

Sind solche Varianten im Spiel, kann sich ein potenzieller Angreifer auf einer legitimen Website - zum Beispiel „bank.com“ - bei einem Besuch eine Sitzungskennung abholen, um mit dem Server zu kommunizieren, erklärte Squarcina. „Das Opfer wird zu einer kompromittierten Subdomain - sagen wir ‘hr.bank.com‘ - geleitet. Diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei ‘bank.com‘ anmeldet, kann sich der Angreifer ebenfalls anmelden, weil nun ja beide dieselbe Sitzungskennung verwenden."

Unerwünschte Trittbrettfahrer
So könnte also der Angreifer als unerkannter Trittbrettfahrer unerwünschte Aktionen über das Website-Konto des Opfers abwickeln, wie die Wissenschaftler in ihrer Arbeit in den „Proceedings of the 32nd USENIX Security Symposium“ darlegen.

Entdecken Forscher ein derartiges Problem, setzen sie sich „mit allen betroffenen Parteien in Verbindung und diskutieren mögliche Lösungen. Große Unternehmen wie Google haben eigene Sicherheitsteams, die das Problem verstehen und die Lücken schnell schließen können. Aber bei kleinen Open-Source-Projekten ist zusätzlicher Aufwand nötig, um das Problem im Detail zu erklären“, so Squarcina.

Loading...
00:00 / 00:00
Abspielen
Schließen
Aufklappen
Loading...
Vorige 10 Sekunden
Zum Vorigen Wechseln
Abspielen
Zum Nächsten Wechseln
Nächste 10 Sekunden
00:00
00:00
1.0x Geschwindigkeit
Loading
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung. Hier können Sie das Community-Team via unserer Melde- und Abhilfestelle kontaktieren.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB). Hier können Sie das Community-Team via unserer Melde- und Abhilfestelle kontaktieren.



Kostenlose Spiele
Vorteilswelt