Sie sind hier: Startseite Nachrichten IT/Computer Gefälschte Cookies – eine neue Gefahr für Internetnutzer?

Gefälschte Cookies – eine neue Gefahr für Internetnutzer?

Freigeschaltet am 17.02.2017 um 10:33 durch Thorsten Schmitt
Bild: Oleg Rosental / PIXELIO
Bild: Oleg Rosental / PIXELIO
Immer häufiger erfahren wir über erfolgreiche Angriffe, die Hacker auch auf große und global verbreitete Internetportale ausüben. Dabei wird sehr oft ein Zugang zu Benutzerkonten erzwungen, ohne dabei die Zugangsdaten wie Benutzername oder Passwort auszuspähen. Derartige Angriffe erfolgen durch Erraten bzw. Diebstahl von Session-Merkmalen.

Diese sogenannten Cookies sind ein wichtiges Merkmal um eine Benutzersession eindeutig zu identifizieren. Sind diese Cookies zu trivial oder die Werte zu kurz, kann man auch den Inhalt des Cookies ermitteln und in eine neue HTTP-Session injizieren, dadurch hat ein Angreifer eine identische Benutzerverbindung zum Server übernommen. Das Erraten der Cookie-Information kann mittels Brute-Force-Attacken stattfinden. Das Stehlen von Cookie-Informationen erfolgt häufig durch Cross-Site-Scripting (XSS), hierbei werden schadhafte Scripte in die Webanwendung eingeschleust.

Doch wie kann man sich vor solchen Angriffen schützen? Aus Benutzersicht kann hier nichts unternommen werden, die Schwächen liegen eindeutig in der Webanwendung. Internetportalanbieter und auch jedes Unternehmen mit Webauftritt sind gut beraten, mit einer vorgeschalteten Web-Application-Firewall (WAF) die beschriebenen Schwachstellen zu eliminieren. Zum einen ist die WAF in der Lage, einen weiteren aus Crypto-Funktionen erstellten und sehr langen Session-Cookie hinzuzufügen, dessen Inhalt und Wert nur sehr schwer zu erraten oder zu ermitteln ist. Ebenso ist eine WAF in der Lage, XSS-Angriffe durch Signaturabgleich zu identifizieren und abzuwehren. Somit lassen sich gleich zwei Fliegen mit einer Klappe schlagen: Cookies können weder erraten, noch gestohlen werden.

Quelle: F5 Networks

Gern gelesene Artikel

Unternehmen implantiert Mitarbeitern Chips unter die Haut

Nachrichten · IT/Computer 06.02.2017 07:56

Neues System lädt Hunderte Smartphones drahtlos

Nachrichten · IT/Computer 21.02.2017 12:44

Datenkraken verstärken Risiko für Diskriminierung

Nachrichten · IT/Computer 21.02.2017 10:31

Publizist Heiko Schrang: Vollstreckungsbeamter hilft GEZ-Verweigerern

Berichte · Vermischtes 13.02.2017 16:35

Journalist Volker Hahn: So gefährlich sind die No-Go-Areas in Deutschland

Nachrichten · Weltgeschehen 13.02.2017 12:53

Norwegen will noch mehr Wale töten

Nachrichten · Natur/Umwelt 07.02.2017 10:29

Machthaber der Ukraine drohen Europa und USA vor Einigung mit Putin

Nachrichten · Weltgeschehen 16.02.2017 07:00

Nichtexistenz des Masern-Virus: Dr. Stefan Lanka gewinnt auch vor dem BGH

Berichte · Gesundheit 18.01.2017 12:02

Lebensstil kann Grauen Star beeinflussen: Diabetes, Rauchen und Übergewicht trüben die Augenlinse

Nachrichten · Gesundheit 14.02.2017 09:36

Tausende bitten Trump um Ausweisung von Milliardär Soros

Nachrichten · Weltgeschehen 16.02.2017 18:10

Oxidierter Kohlenstoff reinigt radioaktives Wasser

Nachrichten · Natur/Umwelt 24.01.2017 10:39

"Dunkelflaute": Energieversorger Innogy warnt vor Stromausfällen

Nachrichten · Wirtschaft 14.02.2017 06:53

Olivia Jones äußert sich bei stern TV über Dschungelcamperin Hanka Rackwitz: "Sie ist sich bewusst, dass sie psychisch krank ist, die anderen nicht."

Nachrichten · Medien 19.01.2017 06:30

Islamfeindliche Kundgebungen verlieren laut Bundesregierung an Zulauf

Nachrichten · Politik 15.02.2017 07:01

US-Unternehmer wollen Freihandel retten

Nachrichten · Weltgeschehen 11.02.2017 17:17

Ukraine nabelt sich von Gazprom ab

Nachrichten · Weltgeschehen 15.02.2017 06:45
Videos
Bild: Metropolico.org, on Flickr CC BY-SA 2.0
Publizist Heiko Schrang: Vollstreckungsbeamter hilft GEZ-Verweigerern
Der Beitrag endhält am Textende ein Video. Bild pravda-tv.com
Zukunftsforscher: Hat die USA ausgedient, was folgt?
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:

Anzeige