Neues von Google: Der Oktober 2017 könnte für so manchen Website-Betreiber eine Überraschung bereithalten. User des Browsers „Google Chrome“ sollen auf unsichere http-Übertragungen noch deutlicher hingewiesen werden. (mehr …)

Einigermaßen sicherheitsbewusste Internetnutzer und Diensteanbieter wissen schon lange, dass Login-Daten vor Zugriffen durch Dritte geschützt werden müssen.

Viele Portale nutzen daher beim Login-Prozess eine gesicherte Verbindung, bei der die Kommunikation vom Server bis zum Browser verschlüsselt wird:

Hat der Benutzer sich korrekt ausgewiesen, erhält sein Browser i.d.R. über die gesicherte Verbindung einen Cookie (sozusagen eine gültige Eintrittskarte zur Website). Danach kann die Seite über eine normale, unverschlüsselte Verbindung weitergenutzt werden, da Username und Passwort nicht mehr übertragen werden müssen:

In falscher Sicherheit gewogen

Alles gut? Leider nein, denn diese weit verbreitete Praxis lässt eines außer Acht: So lange die aktive Sitzung besteht, „zeigt“ der Browser bei jedem Seitenaufruf dem Server die Cookie-Daten. Bei unverschlüsseltem Datenverkehr ist es einem Bösewicht ein leichtes, diese Cookie-Informationen abzufangen. So lange die Besuchersitzung nicht beendet wurde, kann der Cookie – wie eine gültige Eintrittskarte – dazu verwendet werden, um unter dem Namen eines anderen Benutzers Schindluder zu treiben. (mehr …)