4 Tote in Kroatien
Wiener „schockiert“
Sicherheitslücke rund um „namenlose“ Cookies
Die Sicherheitslücke erlaubt potenziellen Angreifern die Übernahme von Website-Konten.
(Bild: Zerbor - stock.adobe.com)
Eine Art Hintertür in den Internet-Sicherheitsabläufen, die es potenziellen Betrügern erlaubt, sich in die Kommunikation zwischen einer mit Hilfssoftwares erstellten Website und einem Nutzer einzuklinken, haben Forscher der Technischen Universität Wien entdeckt. An der Behebung der Lücke rund um „namenlose“ Cookies wird gearbeitet.
Mit der Weiterentwicklung des Internets in Richtung Austauschplattform von Apps und Codes und der Etablierung von immer neuen Systemen, die nicht stets auf die gewünschte Weise miteinander interagieren, tun sich auch unerwartete Problemfelder auf, heißt es seitens der TU Wien. Eine einheitliche Art Standardisierungsbehörde für das gesamte World Wide Web gibt es überdies nicht wirklich. So entwickelt sich das Netz immer ein Stück weit frei vor sich hin.
„Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standards allgemein übernommen werden. Und manchmal, wie in diesem Fall, liegen die Probleme auch in der Norm selbst“, so Marco Squarcina vom Institut für Logic und Computation der TU.
Er sah sich mit einem Forschungsteam das Zusammenspiel zwischen Webseiten, bei deren Entwicklung Programme zur Anwendung kamen, mit denen Homepages sozusagen auf Basis von vorgefertigten Lösungen schnell aufgesetzt werden können (Webframeworks), und Cookies an.
Letztere sind seit dem Ausrollen der aktuellen Datenschutzbestimmungen durch die mannigfaltigen Einstellungs-Nachfragen von Websites bei ihren Nutzern in den vergangenen Jahren deutlich bekannter geworden. Letztlich handelt es sich dabei um kleine Datenpakete, die zwischen einem Server, der eine Website beherbergt, und dem Webbrowser des Benutzers transferiert werden. Im Grunde werden hier individuelle Nutzerdaten ausgetauscht, die für den nächsten Besuch der Homepage gespeichert werden, um sie mehr oder weniger auf den Benutzer abzustimmen.
Großer Schock
„Wir waren ziemlich schockiert, als wir herausfanden, welche Sicherheitslücken es hier derzeit gibt“, so Squarcina. Das betrifft vor allem Cookies, die mit keinem „Namen“ versehen sind, heißt es in der Aussendung. Derartige „namenlose“ Cookies sind technisch erlaubt.
Sind solche Varianten im Spiel, kann sich ein potenzieller Angreifer auf einer legitimen Website - zum Beispiel „bank.com“ - bei einem Besuch eine Sitzungskennung abholen, um mit dem Server zu kommunizieren, erklärte Squarcina. „Das Opfer wird zu einer kompromittierten Subdomain - sagen wir ‘hr.bank.com‘ - geleitet. Diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei ‘bank.com‘ anmeldet, kann sich der Angreifer ebenfalls anmelden, weil nun ja beide dieselbe Sitzungskennung verwenden."
Unerwünschte Trittbrettfahrer
So könnte also der Angreifer als unerkannter Trittbrettfahrer unerwünschte Aktionen über das Website-Konto des Opfers abwickeln, wie die Wissenschaftler in ihrer Arbeit in den „Proceedings of the 32nd USENIX Security Symposium“ darlegen.
Entdecken Forscher ein derartiges Problem, setzen sie sich „mit allen betroffenen Parteien in Verbindung und diskutieren mögliche Lösungen. Große Unternehmen wie Google haben eigene Sicherheitsteams, die das Problem verstehen und die Lücken schnell schließen können. Aber bei kleinen Open-Source-Projekten ist zusätzlicher Aufwand nötig, um das Problem im Detail zu erklären“, so Squarcina.
krone.at
Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
Migranten auf Flucht vor Polizei verunglückt
Gefährliche Mutprobe
Plan in Niederlanden
Topfavoriten souverän
Woods eins über Par
Aus bei Red Bull
Symbolische Geste
„Spielerisch“ gemeint
Aufgaben bleiben
Portugiese äußert sich
Vorfall in Inzing
EM-Auswahl steht fest
Vermisste Person
Hier im Video:
Aus nach zwei Jahren
„Habe noch viel Zeit“
Hechtsprung aus Auto
Heiß begehrt
Fünf Jahre nach Ibiza
Britische Studie zeigt
krone.tv
Mehr Web
Gefährliche Mutprobe
US-Jugendlicher (14) aß extrem scharfen Chip: tot!
Britische Studie zeigt
So (un)sicher ist Ihr PIN-Code
„FÄKT“ auf TikTok
Wissenschaft kindgerecht: „Fehlte bisher bei uns“
Dämpfer für SPÖ
FPÖ gewinnt Kampf um „gekaperte“ Internetadressen
Werden Kinder süchtig?
EU leitet Verfahren gegen Facebook-Konzern ein
adidas Gutscheincode
Sichere dir deinen exklusiven 15% adidas Gutscheincode!
MediaMarkt Gutschein
Hol dir den 20 € MediaMarkt Aktionscode für Fotoprodukte!
Teufel Gutschein
Spare jetzt 10% auf deinen Einkauf im Teufel Onlineshop!
OTTO Gutscheincode
Mit unserem OTTO Gutscheincode sparst du 20% MwSt auf Mode!
Shop Apotheke Gutschein
Jetzt 13% auf deinen Einkauf sparen!
Anzeige
Kommentare
Liebe Leserin, lieber Leser,
die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.
Mit freundlichen Grüßen
das krone.at-Team
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB). Hier können Sie das Community-Team via unserer Melde- und Abhilfestelle kontaktieren.