Modul de folosire al Cookie-urilor poate crea breșe în securitate
Lipsa de verificare a integrității cookie-urilor din browsere poate permite hackerilor să extragă informații din conexiunile la internet care sunt criptate.
Cookie-urile, fișierele pe care site-urile le creează în browsere pentru ca să-și amintească utilizatorii autentificați și să urmărească alte informații despre ei, ar putea fi folosite de atacatori pentru a extrage informații sensibile de la conexiunile HTTP criptate scrie csoonline.com.
Problema vine de la faptul că Standardul de Management pentru HTTP, sau RFC 6265, care difinește cum trebuiesc create și folosite cookie-urile nu specifică nici un mecanism prin care se pot izola sau se poate verifica integritatea lor.
Ca atare, browserele de internet nu autentifică întotdeauna domeniile care stetează cookie-uri. Acest lucru permite atacatorilor să introducă cookie-uri prin intermediul simplelor conexiuni HTTP care pot fi transmise mai târziu pentru conexiunile HTTPS în locul celor stabilite de site-urile HTTPS în sine, a declarat Centrul de Coordonare CERT (CERT / CC) de la Universitatea Carnegie Mellon.
Unul dintre motivele pentru care se întamplă acest lucru se datorează faptului că subdomeniile pot seta cookie-uri, care sunt valabile pentru domeniile mamă sau pentru alte subdomenii.
De exemplu, în cazul în care subdomain.domain.com stabilește un cookie cu un atributul de domeniu al domain.com, acel cookie poate fi trimis de browser și pentru subdomain2.domain.com. Site-ul găzduit pe subdomain2 ar putea să nu fie în măsură să diferențieze între propriul cookie și cel împrumutat.
Cookie-urile încă nu sunt izolate printr-un numărul de port sau schemă. Un server poate gazdui mai multe site-uri accesibile prin același domeniu, dar pe diferite numere de port. Aceste site-uri vor fi capabile să își vadă și să își seteze cookie-urile reciproc.
Toate aceste inconsecvențe pot permite hackerilor să se folosească de atacuri de tip man-in-the-middle pentru a efectua așa-numite injectări cu cookie-uri care pot fi folosite pentru a extrage informații sensibile de la conexiunile de tip HTTP.
O echipa de cercetatori de la Universitatea din California, Berkeley, Universitatea Tsinghua din Beijing, Institutul Internațional de Informatică și Microsoft a testat implicațiile unor astfel de atacuri asupra site-urilor pe diferite profile HTTPS și au prezentat concluziile lor în august, la conferința USENIX.
Ei au descoperit ca acestea ar putea deturna gadget-urile de chat ale utilizatorilor în interfața Gmail, că ar putea fura istoricul de căutare Google, că ar putea fura informațiile de pe cărțile de credit de pe site-ul China UnionPay,ar putea deturna de Google OAuth și asociațiile BitBucket, ar putea urmări și manipula cărucioare de cumpărături de pe site-uri de e-commerce și multe altele.
„Unii furnizori de browsere web au remarcat că încercarile anterioare de a gestiona mai sigur cookie-urile au fost dejucate din cauza lipsei unui standard implementat pe scara larga”, a declarat CERT / CC .
Până la găsirea unei soluții, problema poate fi atenuată dacă site-urile folosesc mecanisme stricte de transport sigur pentru HTTP, Strict Transport Security (HSTS).
Cele mai recente versiuni ale browserelor importante suporta HSTS, dar pentru ca acest mecanism să fie eficient împotriva atacurilor de injectare a cookie-urilor, site-urile web trebuie să-l pună în aplicare.
