12968

Browser: Sicherheitslücken bei Behandlung von Cookies

03.02.2006 | 08:55 Uhr |

Mehrere Browser enthalten Sicherheitslücken bei der Behandlung von Cookies.

Durch nachlässige Programmierung können Cookies von fremden Websites ausspioniert und manipuliert werden. Der polnische Sicherheitsforscher Michal Zalewski meldet auf einer Sicherheits-Mailing-Liste mehrere Fehler in verschiedenen Web-Browsern, die er unter dem plakativen Namen "Cross Site Cooking" zusammenfasst.

Cookies sind kleine Datenschnipsel, die eine Website auf dem Rechner eines Besuchers ablegen kann, damit er bei späteren Besuchen wieder erkannt wird. In den meisten Web-Browsern kann das Ablegen von Cookies reglementiert oder ganz abgeschaltet werden. Cookies sollten nur von Websites wieder ausgelesen und geändert werden können, die zur derselben Domain (etwa pcwelt.de) gehören, wie die Website, die den Cookie angelegt hat.

Bei den von Michal Zalewski ausgemachten Fehlern geht es vor allem um Punkte - um die Punkte zwischen den einzelnen Teilen einer Web-Adresse. Bei der Frage, ob eine Website einen Cookie auslesen oder verändern darf, zählen Browser diese Punkte in der Web-Adresse. Zusammen mit dem, was der Browser dann als Domain-Namen ansieht, erlaubt er das Lesen und Bearbeiten eines Cookies oder verbietet es.

Der erste von Zalewski genannte Fehler betrifft Mozilla-basierte Browser, etwa Firefox. Im Gegensatz zum Internet Explorer versagt hier ein Mechanismus, der eigentlich verhindern sollte, dass die Cookie-Berechtigungen zu großzügig erteilt werden. Das hängt auch damit zusammen, dass die allgemeinen Cookie-Regeln die sieben klassischen, so genannten generischen Top-Level-Domains (gTLD) - also COM, NET, ORG, EDU, GOV, INT und MIL - gesondert behandeln. Dazu kommt, dass in verschiedenen Ländern unterhalb der ccTLD (cc = country code, also etwa DE, AT, UK) Konstruktionen wie "www.[Name].com.pl" bestehen.

Dies ermöglicht die Festlegung einer Cookie-Zugriffsberechtigung zum Beispiel für "*.com.pl", weil darin zwei Punkte und "COM" enthalten sind. Die Folge ist, dass jede polnische Website mit einer Domain dieses Typs einen Cookie von einer anderen Domain dieser Art auslesen und verändern kann. In Deutschland klappt das nicht, da es hier keine Domains wie "[Name].com.de" gibt.

Eine weitere Fehlerquelle liegt in der Behandlung dessen, was vor oder nach den Punkten steht. So kann etwa ein Angreifer auch eine Konstruktion wie ".com." nutzen - wiederum sind zwei Punkte und "COM" vorhanden. Dieser Fehler betrifft laut Zalewski neben Mozilla auch den Internet Explorer und wurde bereits 1998 von Benjamin Franz publik gemacht. Er sollte eigentlich längst behoben sein.

Das dritte Problem betrifft die Prüfung durch den Browser, mit welcher Website er gerade in Kontakt tritt. Ein Angreifer könnte bei Besuchern seiner Website einen Cookie für "*.firma.com" setzen und ihm ferner (etwa über eine Manipulation der HOSTS-Datei durch ein Trojanisches Pferd) eine IP-Adresse für eine Website "angreifer.firma.com" unterschieben. Besucht das Opfer nun den Online-Shop auf "www.firma.com" und setzt diese einen Cookie, kann der Angreifer den Cookie lesen und manipulieren.

In allen Fällen könnte ein Angreifer also zum Beispiel in Cookies gespeicherte Zugangsdaten des Benutzers missbrauchen oder ihm andere Zugangsdaten, mithin eine andere Identität unterschieben. Alle von Zalewski aufgezeigten Probleme wären durch die Browser-Hersteller lösbar, indem sie die Behandlung von Cookie-Berechtigungen verbessern. Als Anwender können Sie folgendes tun, um sich vor solchen Manipulationen zu schützen:

- deaktivieren Sie Cookies im Browser (temporäre Session-Cookies sind o.k.)
- lassen Sie Ausnahmen davon nur für wenige, bestimmte Websites zu
- löschen Sie Cookies beim Schließen des Browsers oder beim Herunterfahren des Rechners
- kontrollieren Sie regelmäßig die HOSTS-Datei auf Veränderungen

0 Kommentare zu diesem Artikel
12968