Heise berichtet erneut von einer möglicherweise schwerwiegenden Sicherheitslücke beim Umgang mit Cookies und SSL-Verschlüsselung.

Normalerweise - so wird es dem Anwender häufig gesagt - sollte eine SSL-Verschlüsselte Internetseite sicher sein. Bei vielen Seiten werden die Daten selbst, vor allem aber auch die Login-Daten, natürlich über die gesicherte Verbindung verschlüsselt übertragen.

Beim Sessionmanagement werden allerdings häufig Cookies eingesetzt, die den Anwender während einer Session, aber auch bei einem erneuten Besuch wieder identifizieren sollen.

Es ist allerdings häufig nicht sichergestellt, dass die Cookies ausschließlich über die gesicherte Verbindung übertragen werden. Wenn der Programmierer nämlich versäumt, beim Setzen des Cookies eine Option zu aktivieren, die den Browser anweist, das entsprechende Cookie ausschließlich über eine gesicherte HTTPS-Verbindung zu übertragen, ist es einem Angreifer prinzipiell möglich, den Anwender dazu zu veranlassen, z.B. ein Bild auf dem selben Server, allerdings unverschlüsselt abzurufen.

Bei eben diesem Aufruf, überträgt der Browser das Cookie ebenfalls über die ungesicherte Verbindung.

Wenn der Angreifer auf diese Weise erst einmal in Besitz des Cookies gekommen ist, ist es ihm häufig ohne weiteres möglich, Zugang zur entsprechenden Seite zu erlangen.

Der Anwender selbst, kann auf dieses Verhalten leider kaum Einfluss nehmen. Zu den großen Seiten, bei denen das Sicherheits-Flag im Cookie nicht gesetzt wird, gehören wohl u.a. Google Mail, Facebook und Amazon.