Browsere har cookie-sårbarheder

Artiklen blev oprindeligt publiceret den 30/9/2015

Forskere har fundet sårbarheder i flere browseres behandling af cookies. De kan udnyttes gennem man-in-the-middle-angreb til at indsætte forfalskede cookies.

Sikkerhedsforskernes rapport peger på et hul i web-specifikationerne: Med HSTS (HTTP Strict Transport Security) kan et websted kræve, at indhold og dermed cookies kun sendes krypteret. Men der er ingen metode til at garantere, at en cookie er oprettet over en krypteret forbindelse.

Derfor kan en angriber i et man-in-the-middle-angreb placere en cookie over ukrypteret HTTP. Den kan senere blive sendt som en krypteret cookie, som browseren vil have tillid til.

I artiklen ”Cookies Lack Integrity: Real-World Implications” gennemgår et hold sikkerhedsforskere problemet. De viser også, hvordan fejl og uhensigtsmæssigheder i flere browsere øger risikoen.

Det amerikanske CERT/CC skriver, at en fuldstændig løsning nok vil kræve en opdatering af de relevante web-standarder, RFC 6265 og RFC 6454. Indtil det sker, kan man aktivere HSTS på topdomæner med valgmuligheden IncludeDubDomains.

Anbefaling
Følg anbefalingerne fra CERT/CC.

Links

• VU#804060: Cookies set via HTTP requests may be used to bypass HTTPS and reveal private information, CERT/CC
• Cookies Lack Integrity: Real-World Implications